Не верь глазам своим
Несколько дней назад один из клиентов антивирусной лаборатории ]] ]] предоставил интересный образец вредоносного файла (хешсумма SHA1:fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как троян ]] ]] ), специально разработанного хакерами для кражи учетных данных пользователей таких социальных сетей как Вконтакте.ру и перенаправляющий посетителей на ip-адрес 92.38.209.252, но весьма необычным способом.
Наиболее распространенным способом обмана пользователей и кражи паролей является проникновение в систему и внедрение файла hosts, содержащего команды приорететного управления преобразования доменных имен в ip-адреса ( ]] ]] ) и расположенного по адресу %SystemRoot%system32driversetc . Однако, когда на зараженном компьютере вы открываете этот файл, в нем нет никаких ссылок на сайты “vk.com” и “vkontakte.ru”.
Но когда мы включаем режим отображения скрытых файлов, мы сможем увидеть другой файл hosts. Он скрытый, как в следующем примере:
Есть два файла с точно тем же самым именем, hosts, в папке etc! Как это могло произойти? Как мы знаем, каталог не может содержать два файла с тем же самым именем. Когда мы копируем имена файлов в блокнот, сохраняем их как текстовый файл в формате Unicode и открываем их с HEX-редактором, мы видим следующее (верхнее для первого файла hosts, ниже для второго файла hosts):
Для кодовой таблицы Unicode (UTF-16), символ 0x006F выглядит точно так же как 0x6F в таблице ASCII, и представляет собой латинский символ “o”. Но где находится 0x043E в Unicode? Вот перед вами соответствующий диапазон таблицы 0400-04FF.
Как мы можем заметить, Unicode 0x043E представляет собой кириллический символ , и чем-то напоминает английское о.
Итак, скрытый файл host является настоящим host фалом, при открытии которого можно увидеть две строчки расположенные в самом конце файла.
Найден ключ к разрешению тайны!
source
Комментариев нет:
Отправить комментарий