Archiwa WinRAR SFX mogą uruchamiać PowerShell bez wykrycia

[Grandalf]

Hakerzy dodają złośliwą funkcjonalność do samorozpakowujących się archiwów WinRAR, które zawierają nieszkodliwe pliki wabików, umożliwiając im instalowanie backdoorów bez uruchamiania agenta bezpieczeństwa w systemie docelowym.

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

Zaloguj lub Zarejestruj się aby zobaczyć!

Dla nietechnicznych:
jezeli pobierzecie sobie super-duper crackowana wersje BlackOps Bucha w formie samorozpakowujacego sie archiwum to nie zdziwcie sie ze bedziecie mieli po ptokach.
Dopoki sie nie polata, CRJZ:
poniewaz nie wspieramy piractwa wiec nie bede mowil JAK, tylko CO zrobic.
Jezeli juz sciagneliscie exe z jaiegos serwera podejrzanej konduity to nalezy PODEJRZEC zawartosc zamiast uruchamiac to co sie sciagnelo.
Polecam zyczliwej uwadze ze pojawil sie juz scenariusz: program i crack spakowane 7Zipem, po rozpakowaniu ukazuje sie folder clrack i folder instalacyjny oraz plik setup.exe ktory jest... no wlasnie: archiwum sfx z niespodziewanka.
Tak wiec na chwile obecna jedyna metoda (a i to nie ma gwarancji ze to sa wszystkie poziomy) to podejrzenie/rozpakowanie reczne, sprawdzenie plikow nastepnego poziomu... i jeszcze... i jeszcze... do bolu, lez i upojenia.
Innej rady nie ma i nie wiem czy bedzie bo RARLab znany jest z... opornosci na latanie dziur (tu tez pare lat bylo na ten temat pisane).