Еще раз по этой теме немного текста:
Сейчас много зловредов, которые представляют собой SFX архив (EXE файл), который настроен на автозапуск какого-то файла, который содержится в этом архиве. При создании такого архива можно сменить иконку у EXE файла.
Например, в такой архив может быть помещен bat файл, который копирует файлы с паролями из браузеров (например, в опере пароли находятся в файле wand.dat) и другую информацию, далее эти файлы архивируются в один файл, например в помощью консольной версии rar-а, который помещен в этот же зловредный архив. Затем запускается программа blat, которая полученный архив отправляет злоумышленнику на почту. Все программы, которые используются в этом случае, являются легальными, поэтому антивирусы на них не реагируют. Для того чтобы при работе bat файла на экране не было окон cmd используется например утилита hidcon.exe, которая также легальная и не детектируется.
Далее злоумышленник меняет иконку у этого архива на стандартную иконку jpg файлов в Проводнике, и отправляется жертве под именем, например «foto.exe». А т.к. большинство неопытных пользователей не смотрят на расширение файла, то запустят этот архив. Произойдет запуск зловредного командного файла их архива, и пароли уйдут злоумышленнику. А далее произойдет запуск какой-то левой jpg картинки, которая также помещена в этот архив – жертва увидит картинку и даже ничего не заподозрит.
Что сейчас делают антивирусники: добавляют сигнатуру этого EXE архива в базу антивируса – преступники могут за минуту делать десятки новых таких архивов, у которых будет новая сигнатура. Поэтому такая борьба крайне не эффективна.
А такие зловредные архивы может сделать любой школьник, который даже турбо паскаль никогда не изучал. Пример выше является только одним вариантом из множества использования таких архивов.
Как эффективно бороться с этим злом: нужно чтобы антивирус перед запуском такого архива проверял наличие в нем автозапуска. И если автозапуск есть, то антивирус должен реагировать на такой архив. В антивируса Аваст есть песочница, например, она реагирует если запускаются программные файлы со сменных носителей. Если песочника будет также реагировать на такие архивы, то это заметно улучшит эффективность антивируса.
Просьба передать перевод этого сообщения авторам антивируса Аваст.