Специалисты обнаружили способ незаметного для антивирусов встраивания вредоносного кода в архивные файлы

Исследователи компьютерной безопасности обнаружили способ сокрытия в популярных форматах файловых архивов вредоносного кода, не выявляемого большинством антивирусов.

На конференции Black Hat, проходившей в Барселоне, Томислав Перицин, основатель проекта RLPack, посвященного защите коммерческих приложений, Марио Вуксан, независимый эксперт и президент ReversingLabs, а также операционный директор AccessData Брайан Карни продемонстрировали возможность незаметного для антивирусов встраивания кода червя Conficker в архивные файлы типа RAR и ZIP.

Исследователи обнаружили 8 уязвимостей в ZIP и 7 "дыр" в 7ZIP, RAR, GZIP и CAB. Злоумышленники могут использовать найденные бреши для обхода корпоративных систем защиты, проверяющих почтовые вложения на присутствие в них вредоносного кода.

Специалисты также показали способ встраивания в архивные файлы секретных данных. Подобная методика носит название стеганографии; в отличие от криптографии, скрывающей содержимое тайны, она позволяет скрыть само ее существование, к примеру, внутри обычного (на первый взгляд) цифрового фотоснимка.

В ходе выступления исследователи сообщили о выпуске открытой утилиты NyxEngine, предназначенной для обнаружения вредоносного кода или скрытого контента в архивных файлах. Программа выступает препроцессором форматов ZIP, RAR, GZIP и CAB.