Архив

За безобидными файлами могут скрываться опасные монстры!

«Лаборатория Касперского» обращает внимание пользователей на серьезную угрозу, которую могут представлять программы с расширением PIF для безопасности
персональных компьютеров и корпоративных сетей. Из-за низкого уровня информированности по данной проблеме, в последнее время значительно участились случаи проникновения
вирусов с использованием PIF-файлов.

PIF-файлы (Program Information File) являются стандартными файлами операционной системы Windows, которые используются для хранения информации о параметрах запуска
DOS-приложений. В них записываются данные об имени, размере, рабочей директории, датах создания и модификации, размере окна приложения, использовании памяти,
приоритетности процесса и др. Такая особенность Windows позволяет избежать необходимости кропотливой настройки DOS-программ каждый раз при их запуске. Это достаточно
сделать один раз и сохранить все настройки в PIF-файле.

Таким образом, PIF-файлы содержат исключительно техническую информацию о работе DOS-программ в Windows и, казалось бы, не могут быть вредоносными программами.
Это ошибочное мнение порождает невнимательность пользователей по отношению к файлам с таким расширением. Многие владельцы персональных компьютеров запускают
эти программы, не проводя проверку на вирусы.

Опасность заключается в том, что в PIF-файлы можно встраивать исполняемые модули, например, BAT, EXE или COM программы, которые будут автоматически выполняться
при запуске основного файла.

Наглядным примером внедрения в PIF-файл вредоносной программы является первый в своем роде Интернет червь ‘Fable’. Он попадает на компьютер в виде сообщения электронной почты.
Сообщение содержит вложенный файл FABLE.PIF. При его запуске червь посредством хитрых манипуляций создает дополнительные файлы, обеспечивающие
его распространение по каналам IRC и электронной почте. Последнее происходит довольно стандартным путем: специально созданная скрипт-программа незаметно для пользователя получает доступ к функциям почтового клиента Outlook и рассылает зараженные сообщения описанного выше формата по всем адресам, находящимся в адресной книге.

Другим наглядным примером злоупотребления PIF-файлов является Интернет червь MTX,
обнаруженный в сентябре и вызвавший крупномасштабную эпидемию во всем мире. В рассылаемых им сообщениях электронной почты также содержатся файлы с расширением
PIF. Однако, на самом деле, эти файлы являются обыкновенными EXE-программами с переименованным расширением. При запуске такого PIF-файла программа успешно
выполняется. Тонкий расчет сделан на то, что пользователи, дезориентированные кажущейся безопасностью PIF-файла, запустят его.

«Лаборатория Касперского» до сих пор не получала от пользователей сообщений о фактах заражения Интернет червем ‘Fable’. «Мы считаем ‘Fable’ скорее продуктом удачного эксперимента, доказавшего возможность существования в PIF-файлах вредоносных программ, нежели реальной угрозой эффективной работе пользователей,» — комментирует Денис Зенкин, руководитель информационной службы компании, — «однако, сложно предугадать насколько будут опасны вирусы этого типа, которые могут появиться в будущем. К тому же, под PIF-файлы можно маскировать
любые другие исполняемые файлы. В связи с этим, мы рекомендуем быть максимально осторожными в отношении PIF-файлов, особенно, если Вы получили их из источников,
не заслуживающих доверия».

Подробнее об Интернет-черве Fable читайте в Вирусной Энциклопедии «Лаборатории Касперского».

За безобидными файлами могут скрываться опасные монстры!

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике