Microsoft i VirusTotal zajedno protiv malicioznih MSI fajlova

Kompanija Microsoft i Virus Total su se udružili kako bi zajedno kreirali bolji sistem za detektovanje MSI fajlova koji su modifikovani tako da uključuju maliciozne Java arhive.

Kada neki developer proizvede komad softvera obično ga potpisuje preko digitalnog sertifikata, a kako bi oni koji ga koriste znali ko je kreirao program. Još jedna korist ovakve prakse je i to što svaka modifikacija dovodi do toga da Windows PE (.exe) prestane da funkcioniše, što daje još jedan sloj zaštite, te osigurava da svaki fajl koji je neko pokušao da izmeni prestane da bude funkcionalan.

Kada je Microsoft Installer (MSI) u pitanju, kreatori takođe mogu da ga potpisuju, ali potpis u ovom slučaju ne garantuje da fajl neće funkcionisati kada ga neko modifikuje. Tako napadači mogu da koriste MSI fajlove kao prostor za skladištenje malicioznih programa, a da MSI fajlovi izgledaju kao nepromenjeni. Budući da se većina antivirus programa oslanja na potpise kako bi odredila da li je neki fajl inficiran, maliciozni MSI fajlovi obično ostaju neprimećeni.

Pročitajte i:  Nova Windows 10 verzija zahteva dodatni prostor na hard disku

Malver koji se distribuira na ovaj način obično zahteva još jedan program koji izvlači maliciozni kod iz MSI fajla, te ga pokreće, ali se ta potreba eliminiše kada se u MSI implementiraju i Java Archives (JAR) – obični Zip fajlovi koji sadrže neophodne komponente uz pomoć kojih se maliciozni programi pokreću preko Java launcher-a.

VirusTotal i Microsoft bi ovakvim praksama trebalo da stanu na put, a uz pomoć alata Sigcheck koji prepoznaje modifikovane MSI fajlove. Novi način za detekciju sadržan je u okviru nove verzije Sigcheck 2.70, preko koje VirusTotal  prepoznaje maliciozne MSI fajlove kada se otpreme na njegov servis, te korisnika obaveštava porukom “Signed but the filesize is invalid (the file is too large)“.

Izvor: Bleeping Computer

Facebook komentari:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.