Про EXE архивы с автозапуском

[koscl]

Еще раз по этой теме немного текста:
Сейчас много зловредов, которые представляют собой SFX архив (EXE файл), который настроен на автозапуск какого-то файла, который содержится в этом архиве. При создании такого архива можно сменить иконку у EXE файла.

Например, в такой архив может быть помещен bat файл, который копирует файлы с паролями из браузеров (например, в опере пароли находятся в файле wand.dat) и другую информацию, далее эти файлы архивируются в один файл, например в помощью консольной версии rar-а, который помещен в этот же  зловредный архив. Затем запускается программа blat, которая полученный архив отправляет злоумышленнику на почту. Все программы, которые используются в этом случае, являются легальными, поэтому антивирусы на них не реагируют. Для того чтобы при работе bat файла на экране не было окон cmd используется например утилита hidcon.exe, которая также легальная и не детектируется.

Далее злоумышленник меняет иконку у этого архива на стандартную иконку jpg файлов в Проводнике, и отправляется жертве под именем, например «foto.exe». А т.к. большинство неопытных пользователей не смотрят на расширение файла, то запустят этот архив. Произойдет запуск зловредного командного файла их архива, и пароли уйдут злоумышленнику. А далее произойдет запуск какой-то левой jpg картинки, которая также помещена в этот архив – жертва увидит картинку и даже ничего не заподозрит.

Что сейчас делают антивирусники: добавляют сигнатуру этого EXE архива в базу антивируса – преступники могут за минуту делать десятки новых таких архивов, у которых будет новая сигнатура. Поэтому такая борьба крайне не эффективна.

А такие зловредные архивы может сделать любой школьник, который даже турбо паскаль никогда не изучал. Пример выше является только одним вариантом из множества использования таких архивов.

Как эффективно бороться с этим злом: нужно чтобы антивирус перед запуском такого архива проверял наличие в нем автозапуска. И если автозапуск есть, то антивирус должен реагировать на такой архив. В антивируса Аваст есть песочница, например, она реагирует если запускаются программные файлы со сменных носителей. Если песочника будет также реагировать на такие архивы, то это заметно улучшит эффективность антивируса.

Просьба передать перевод  этого сообщения авторам антивируса Аваст.

[George Yves]

Просьба передать перевод  этого сообщения авторам антивируса Аваст.

Вы считаете, что разработчики Аваста ничего не знают и не умеют? Зачем им нужен этот перевод?

[koscl]

действительно зачем.
пусть дальше пропускает.

[George Yves]

действительно зачем.
пусть дальше пропускает.

Повторяю, почему Авастовцы должны заинтересоваться этим текстом? Вводная часть текста где? Пока что Вы написали просто текст для пользователей-новичков как избегать заражений, а надо написать обоснованное обращение разработчикам: почему, по каким фактам/примерам, на что желательно обратить внимание разработчикам и т.д.

[amid525]

koscl, вам нужно написать в англоязычной ветке. Там вас заметят.

[George Yves]

amid525
Именно это он и хочет сделать, но не владеет английским и поэтому попросил перевести свой текст, чтобы отправить в главный форум. Но по моему мнению, его текст не соответствует задуманной им теме. Всё это напоминает инструкцию неопытным пользователям - "не следует открывать неизвестные почтовые вложения от неизвестных отправителей". Я прошу его составить более технически ориентированный текст с примерами и конкретной просьбой к разработчикам, а он надулся и обиделся.

[amid525]

amid525
 Я прошу его составить более технически ориентированный текст с примерами и конкретной просьбой к разработчикам, а он надулся и обиделся.

Вроде, есть конкретная просьба:
нужно чтобы антивирус перед запуском такого архива проверял наличие в нем автозапуска. И если автозапуск есть, то антивирус должен реагировать на такой архив.