Ховаємо - троянчега - в ордівський документ, Ру-Сфера Дослідження захисту та обговорення

Хто переглядає цей контент: "Тема" (Всього користувачів: 0; Гостей: 1)

Шановний користувач

Відкриваємо Microsoft Office Word 2007, копіюємо підготовлену раніше склеювання та вставляємо в документ (можна просто перетягнути файл мишкою в потрібне місце документа)

ховаємо

У нас з'явилося зображення з іконкою від SFX склеювання і підписом про назву файлу троян.

Зберігаємо отриманий документ, простеживши, щоб він зберігся з розширенням docx. Тепер збережений документ відкриваємо у вінрарі (програмою WinRAR). Нам відкриється наступне:

ховаємо

. Далі заходимо до папки word:

троянчега

Потім заходимо до папки media:

ордівський

У папці media ми бачимо файл image1.wmf – це зображення. Дістаємо цей файл і дивимося його розміри - у нашому випадку розміри 175 X 50 пікселів. Тепер шукаємо відповідну картинку відповідного розміру для заміни, або малюємо самі. Зберігаємо цю картинку під назвою image1, якщо не можете зберегти з розширенням wmf, можете зберегти з розширенням jpg

Якщо вам вдалося зберегти зображення у форматі wmf, то можете одразу замінити ним стандартне, просто перетягнувши його мишкою у відкрите вікно вінрара. Якщо ви зберегли зображення у форматі jpg, вам необхідно змінити розширення зображення на wmf Змінити розширення можна за допомогою Total Commander, або WinRAR. У результаті вийшло таке:

ховаємо

При натисканні зображення запуститься наша склеювання і встановиться троян. Спочатку для впровадження в документ, склеювання трояну в даномуваріанті робити бажано з картинкою, щоб насправді відкрилося аналогічне зображення, тільки більшого розміру. Замість напису "Тепер при натисканні на зображення знизу, запуститься наш троян" природно потрібно написати щось інше. Наприклад ви можете створити щось на зразок каталогу товарів, з маленькими зображеннями товарів, при натисканні на які відкривається більше зображення.

Часто при спробі запустити файли, завантажені з інтернету, з'являється приблизно таке вікно:

ховаємо

Як Windows визначає, що файл був завантажений з Інтернету

Таку "чорну мітку" файлу зазвичай ставить браузер Internet Explorer. При цьому файл можна перейменувати, скопіювати або навіть перемістити на інший диск, попередження все одно залишатиметься. Зняти блокування з файлу можна приблизно так. Але як система визначає, що файл завантажений з інтернету? Ця інформація записується у звані альтернативні потоки NTFS. Суть технології альтернативних потоків полягає в тому, що файл на дисковій системі NTFS одночасно може бути кілька потоків, що містять дані. Провідник Windows і більшість файлових менеджерів можуть працювати тільки з головним потоком, який є основним вмістом файлу.

Натомість альтернативні потоки NTFS можна легко подивитися в консолі звичайною командою DIR із ключем /R

ордівський

Перегляд альтернативних потоків NTFS за допомогою команди DIR

Можна скористатися консольною утилітою Streams від Mark Russinovich.

троянчега

Перегляд альтернативних потоків NTFS за допомогою програми Streams

Для любителів віконних інтерфейсів є чудова програма NTFS Stream Explorer, яка також дозволяє виявити і подивитися альтернативні потоки NTFS.

ховаємо

Перегляд альтернативних потоків NTFS за допомогою NTFS Stream Explorer

Або безкоштовна утиліта AlternateStreamView від NirSoft.

троянчега

Перегляд альтернативних потоків NTFS за допомогою програми AlternateStreamView

Що ж цікавого записано у цьому файлі, а головне, як його відкрити? Найпростіше це робиться за допомогою звичайного Блокнота, який входить до складу кожної Windows. Набираємо в командному рядку наступне:

notepad C:\setup.exe:Zone.Identifier У Блокноті відкривається вміст альтернативного потоку Zone.Identifier. Так, це звичайнісінький текстовий (а точніше ini) файл:

ховаємо

Вміст альтернативного потоку NTFS

Параметр ZoneId=3 відповідає саме за те, щоб файл вважався небезпечним, і на підставі цього значення система приймає рішення про показ попередження.

троянчега

Добре, що наявність захованого альтернативного потоку ми визначили, його вміст подивилися. А далі що? А далі можна розблокувати основний файл шляхом видалення альтернативного потоку.

ордівський

Видалення альтернативного потоку через програму Streams

троянчега

Видалення альтернативного потоку програмою NTFS Stream Explorer

ордівський

Видалення альтернативного потоку програмою AlternateStreamView

Альтернативний потік NTFS також видаляється під час розблокування файлу через меню Провідника Windows. Після видалення потоку файл запускається без попередження.

Чи можна заблокувати файл назад? Так можна. Для цього, як неважко здогадатися, треба створити альтернативний потік Zone.Identifier з потрібним вмістом. Робиться це за допомогою того ж Блокноту вже знайомою нам командою:

notepad C:\setup.exe:Zone.Identifier На запит про створеннянового файлу треба відповісти підтвердженням.

ховаємо

Створення альтернативного потоку NTFS вручну

Залишилося записати у створений файл потоку рядки, які відповідають за блокування основного файлу, та зберегти зміни.

[ZoneTransfer] ZoneId=3 Після цього файл знову стає небезпечним з усіма наслідками. Шляхом нескладних експериментів я також з'ясував, що значення ZoneId=4 при спробі запустити файл призводить до такого цікавого ефекту:

троянчега

Файл повністю заблоковано

Тобто, файл стає повністю блокованим для запуску. Нехай ваша фантазія підкаже вам де це можна використовувати.

Насамкінець хочу попередити вас, що нерозумне створення чи видалення альтернативних потоків може призвести до непередбачуваних наслідків, аж до збоїв у роботі системи. Як і при роботі з будь-якими іншими нутрощами Windows, треба бути дуже обережнимНевеликий гіф-огляд інструкції (від мене)