Вирусът Lurk използва стеганография

0
87

Еволюцията на вредоносните програми показва, че авторите на компютърни вируси вървят няколко крачки по-напред от разработчиците на антивирусни програми.

Въпрос на време беше да започне използването на най-съвременни софтуерни технологии. Вирусите и по-рано използваха изображения, за предаване на информация, но те просто добавяха вредния код в началото или края на графичния файл. Новият Lurk е значително по-хитър и зарежда данни от bitmap-файловете, като след това изпраща информацията за успешно заразяване към отдалечен команден сървър.

Да се спрем малко по-подробно на тези изображения. URL адресите на различните командни сървъри и модулите с вредоносен код са шифровани в битовите изображения, получавани от отдалечените сървъри. Антивирусните програми въобще не са в състояние да разшифроват тези изображения и не могат да ги класифицират като вирусен трафик.

В един от примерите за кодиране на информация се използва последния бит от всеки байт на изображението. Новото изображение въобще не се различава на око: променен е само един пиксел във всеки цветови канал, а по подобен начин могат да бъдат обработени случайни за потребителя байтове от изображението. Така например в безобидната бяла картинка по-горе е скрит адресът hxxp://zvld.alphaeffects.net/d/1721174125.zl.

Lurk изтегля допълнителен код от подобни изображения, а антивирусните програми не разполагат с ресурс и възможност за обработка и дешифриране на големи изображения, в които са променени по неизвестен алгоритъм серия от битове.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за