Un código debajo del codo izquierdo
martes, 17 de abril de 2018
Algunas ediciones del proyecto «El mundo de antivirus» estaban dedicadas a las imágenes nocivas. Por supuesto, surgía una pregunta: ¿cómo se implementa este código nocivo y puede un antivirus detectarlo?
No es difícil insertar un pequeño código nocivo en una imagen. Pero lo más importantes es cómo usar este código posteriormente. En este ejemplo los malintencionados realizaron un método más fácil:
No fue difícil descargar la imagen (art-981754.png) con la carga útil, a través del programa wget. Para extraer el archivo ejecutable de la foto, se usa el comando dd (data duplicator). Luego se establecen los perimsos de ejecución, en realizad, los permisos completos (chmod 777) para el archivo creado x4060014400. El último paso es iniciar esta carga útil recién extraída.
Aquí el comando wget descarga el archivo y lo guarda con un nombre determinado. La utilidad dd extrae del archivo de la imagen una sección por desplazamiento necesario y lo guarda en otro archivo. Luego la imagen se elimina y el archivo nocivo resultante se inicia.
Estos comandos podían hacer sido ejecutados desde la línea de comandos del SO Linux, pero en este ejemplo se ejecutan con los medios de la base de datos (comando SELECT).
Una vez iniciado, el archivo se destruye. Recordamos que en Linux, si un archivo usado por alguien en el momento dado se borra, el mismo no se destruye. En este caso, el archivo fue iniciado y seguirá funcionando, pero permanecerá invisible en el sistema de archivos. Será destruido solo cuando alguien encuentre y detenga el proceso iniciado.
Pero ¿qué dirá el antivirus?
El código extraído de la imagen se detecta por Dr.Web como miner. Por lo tanto, si hay antivirus, el mismo no se iniciará.
#software_nocivo #Linux #tecnologías #configuración_Dr.Web #seguridad
El mundo de antivirus recomienda
- En Linux hay virus.
- Un miner nocivo encontrado en este ejemplo fue clasificado como la utilidad Tool. Para que su antivirus borre los programas considerados potencialmente peligrosos, no olvide establecer la acción predeterminada para los mismos: Mover a cuarentena..
¿Ve un error? En caso de esta configuración, un miner penetrará en el equipo.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
11:28:12 2018-08-07