Как работает File Joiner, File Binders

на фундаментальном уровне этот инструмент ничем не отличается от самораспаковывающегося архива (SFX). Все, что он делает, это сжимает некоторые файлы и включает их в качестве ресурсов в исполняемый файл, который распаковывает их, а затем запускает один или несколько файлов. Эта точно такая же функциональность доступна в обычных инструментах, таких как 7-zip и WinRAR, и именно так работают установщики на базовом уровне.

единственная вещь различная о этом продукте что само-экстрактор (исполнительная часть это извлекает другие файлы) разработан, чтобы быть необнаруживаемым, в то время как нормальный SFX покажет диалог, когда они работают с указанием декомпрессии, и разработаны таким образом, что даже когда содержимое зашифровано, они распознаются как SFX. Это только что этот продукт отличается от стандартной системы SFX.

Итак, функциональность не является новой или вредоносной вообще. Что является вредоносным конкретным является то, что он предназначен, чтобы быть скрыты, как это. Тем не менее, раньше умные пользователи это все-таки не очень эффективный способ распространения вредоносных программ. Хотя файлу может быть присвоен произвольный значок и имя, он должен быть исполняемым файлом и помечен как таковой, поэтому этот инструмент просто повторяет, что вы никогда не должны запускать теневые исполняемые файлы.

когда вы используете это в вредоносных программах, вектор выглядит так: вы отправляете по электронной почте (или иным образом распространяете, чаще всего по электронной почте) файл с именем funny cats.docx.exe или что-то подобное. На компьютерах под управлением Windows расширение файла скрыто, поэтому пользователь просто видит funny cats.docx. Вы можете упаковать с исполняемым файлом значок Microsoft Word, чтобы он выглядел правильно при первом осмотре. Когда пользователь дважды щелкает файл, чтобы открыть его, вы распаковываете фактический документ Word и запускаете его, чтобы Word запустился и загрузил файл (пользователь получает то, что хочет, некоторые забавные кошки). В то же время вы распаковываете троян/загрузчик и выполняете это. Он устанавливает себя где-то незаметно и загружает фактическую полезную нагрузку (своего рода ботнет клиент.)

этого можно избежать, если пользователи будут усердно работать с файлами. Не забудьте посмотреть, что это за файл,особенно если у вас отключены расширения файлов (I всегда изменить настройки, чтобы показать расширения файлов). В последних версиях Windows (Vista и 7) большинство троянов требуют административных привилегий, поэтому, чтобы быть эффективным funny cats.docx должен был бы вызвать запрос UAC для установки трояна, поэтому также убедитесь, что пользователи обучены думать о подсказках UAC-они не должны видеть один, когда они не ожидают один.