Mimo malejącej popularności WinRAR nadal zainstalowany jest na wielu komputerach. Niestety sposób, w jaki interpretuje pliki ZIP sprawia, że z łatwością można umieścić w nich złośliwe oprogramowanie ukryte jako inne dane.
Kiedyś, gdy każdy bajt transferu miał wymierną cenę w postaci kolejnego impulsu połączenia na 0202122, popularne były wydajniejsze niż ZIP algorytmy kompresji. Na lidera alternatywnych formatów szybko wyrósł RAR, dzięki czemu jego klient WinRAR nadal bywa spotykany w wielu miejscach. Okazuje się jednak, że korzystanie z niektórych jego wersji do otwierania plików ZIP wiąże się z poważnym ryzykiem.
Pewien izraelski badacz twierdzi że odkrył (choć raport o podobnym błędzie można znaleźć już w roku 2009), że gdy tworzymy archiwum ZIP za pomocą WinRARa, ten do standardowego formatu ZIP dodaje kilka swoich dodatkowych pól. Wśród nich umieszcza również nazwę skompresowanego pliku. Po co? To dobre pytanie, ponieważ przecież nazwa pliku znajduje się w standardowym nagłówku ZIP. Dopiero analiza specyfikacji formatu plików ZIP wskazuje, że to nie WinRAR tworzy dodatkowy nagłówek, a jest to częścią specyfikacji ZIP, która przewiduje zapisywanie nazwy pliku dwukrotnie dla celów zapewnienia redundancji.
Okazuje się, że WinRAR – przynajmniej w bardzo popularnej wersji 4.20 – różnie interpretuje obie nazwy skompresowanego pliku. Nazwę z nagłówka pliku stosuje, gdy trzeba plik uruchomić, natomiast nazwę z końca pliku pokazuje w trakcie podglądu zawartości archiwum. Taka niespodzianka.
Co robimy, gdy dostajemy plik archiwum z niewinnie wyglądającym plikiem? Spora część nawet świadomych użytkowników może instynktownie kliknąć na plik w oknie WinRARa, by od razu go otworzyć. Tymczasem pod nazwą „ania.jpg” może kryć się plik „ania.exe”, który zostanie natychmiast wykonany.Jeśli chcecie się przekonać, jak działa ta sztuczka, to tutaj znajdziecie przygotowany przez nas plik ania.zip.
Ufacie nam na tyle, by próbować otworzyć jego zawartość? Pamiętajcie, by użyć do jego otwarcia WinRARa w wersji 4.20 – testowaliśmy również wersje 5.x i wygląda na to, że problem został tam poprawiony.
Jeśli chcecie pobawić się sami to wystarczy stworzyć archiwum ZIP i zmodyfikować drugie wystąpienie nazwy spakowanego pliku.
Jak donosi firma IntelCrawler opisywany powyżej błąd jest już wykorzystywany w atakach. Firmy oraz organizacje na całym świecie otrzymują wiadomości poczty elektronicznej z załączonym archiwum, zabezpieczonym hasłem, spreparowanym tak, by ukryć prawdziwą nazwę złośliwego pliku. W środku zawierają konia trojańskiego podobnego do Zeusa, z C&C w Turcji.
Jak uniknąć zagrożenia? W tym wypadku wystarczy nie korzystać z WinRARa do otwierania plików ZIP. Podobnych ataków można w dużej mierze uniknąć, nie otwierając załączników od nieznanych nadawców, a podejrzane pliki poddawać analizie przed ich uruchomieniem.
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
