Microsoft i VirusTotal zajedno protiv malicioznih MSI fajlova

Kompanija Microsoft i Virus Total su se udružili kako bi zajedno kreirali bolji sistem za detektovanje MSI fajlova koji su modifikovani tako da uključuju maliciozne Java arhive.

Kada neki developer proizvede komad softvera obično ga potpisuje preko digitalnog sertifikata, a kako bi oni koji ga koriste znali ko je kreirao program. Još jedna korist ovakve prakse je i to što svaka modifikacija dovodi do toga da Windows PE (.exe) prestane da funkcioniše, što daje još jedan sloj zaštite, te osigurava da svaki fajl koji je neko pokušao da izmeni prestane da bude funkcionalan.

Kada je Microsoft Installer (MSI) u pitanju, kreatori takođe mogu da ga potpisuju, ali potpis u ovom slučaju ne garantuje da fajl neće funkcionisati kada ga neko modifikuje. Tako napadači mogu da koriste MSI fajlove kao prostor za skladištenje malicioznih programa, a da MSI fajlovi izgledaju kao nepromenjeni. Budući da se većina antivirus programa oslanja na potpise kako bi odredila da li je neki fajl inficiran, maliciozni MSI fajlovi obično ostaju neprimećeni.

Malver koji se distribuira na ovaj način obično zahteva još jedan program koji izvlači maliciozni kod iz MSI fajla, te ga pokreće, ali se ta potreba eliminiše kada se u MSI implementiraju i Java Archives (JAR) – obični Zip fajlovi koji sadrže neophodne komponente uz pomoć kojih se maliciozni programi pokreću preko Java launcher-a.

VirusTotal i Microsoft bi ovakvim praksama trebalo da stanu na put, a uz pomoć alata Sigcheck koji prepoznaje modifikovane MSI fajlove. Novi način za detekciju sadržan je u okviru nove verzije Sigcheck 2.70, preko koje VirusTotal  prepoznaje maliciozne MSI fajlove kada se otpreme na njegov servis, te korisnika obaveštava porukom “Signed but the filesize is invalid (the file is too large)“.

Izvor: Bleeping Computer