Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 51
Рис. 2.9.Результат поиска в программе DC++
В большом количестве выдаваемых результатов, доступных для загрузки файлов, незаметно присутствуют файлы с искомым названием, но имеющие расширение «.exe», то есть расширение исполняемого файла — программы для операционных систем MS.
Здесь работает тот же механизм, что и с подменой доменных имен официальных почтовых или других сервисов, рассмотренный в предыдущих частях. Среднестатистический пользователь редко обращает внимание на расширения и размеры файлов.
Большое значение для пользователя имеют наименование файла до расширения и значок, указывающий привязку к программе, при помощи которой файл будет открываться. Значок на файле подменяет понятие типа файла.
После скачивания такой файл в папке проводника будет выглядеть как самый настоящий музыкальный (рис. 2.10).
Рис 2.10. Файл с расширением «.exe» в папке проводника
Метод отображения файлов, по умолчанию установленный в операционных системах Microsoft, не включает отображения расширения файла. По каким соображениям это сделано — судить довольно трудно.
«Сделать» визуально из исполнимого файла любой другой тип путем замены иконки файла очень легко, используя доступные программы, так называемые утилиты или редакторы ресурсов, например Restorator Resource Editor, XNResourceEditor и многие другие. Этим нередко и пользуются при совершении атак, связанных с маскировкой вредоносной программы под легальный файл.
В самом начале беглого анализа найденных и загруженных посредством DC++ файлов загрузим их для проверки на ресурс virustotaL.com.
В первом случае «VirusTotal» сообщил нам, что 21 из 66 антивирусных систем признала в загруженном файле «зло», и это зло является разновидностью Trojan.BAT.BitCoinMiner (рис. 2.11).
Рис. 2.11.Результат проверки файла на ресурсе virustotaL.com
Это не совсем то, что хотелось продемонстрировать, но тоже достойно внимания. Наблюдающаяся в последние дни повсеместная истерия вокруг криптовалютных денег привлекает внимание не только тех, кто мечтает во что бы то ни стало заработать много легких криптоденег в попытках их создания, но и киберпреступников, как всегда желающих украсть что-нибудь откуда-нибудь.
Довольно давно появились разновидности вредоносных программ, предназначенных для хищения с зараженных компьютеров пользователей их электронных кошельков, в том числе BitCoin. Скачанный под видом музыкального произведения вредонос Trojan. BAT.BitCoinMiner относится уже к более новым вариантам вредоносных программ, которые нацелены на кражу вычислительных мощностей зараженных компьютеров.