Як знайти вірус у файлах зображень
Як знайти вірус у файлах зображень
Проблема інфікованих зображень і вірусів, замаскованих під них, є досить важливою через існуючі алгоритми пошуку загроз, які використовуються в більшості антивірусів. Антивіруси, що використовують переважно сигнатурний аналіз, та наділені всіма перевагами та недоліками цієї технології, часто змушені ігнорувати бінарні файли для збереження високої швидкості сканування. Саме ця риса антивірусів призводить до зручних можливостей для зловмисників у справі інфікування веб-ресурсів та серверів шляхом приховування інфекцій у бінарних файлах і найчастіше саме у файлах зображень. У цій статті ми розглянемо типи інфікування, що найчастіше зустрічаються, способи виявлення подібних файлів і методи їх усунення, або очищення, а також розповімо про те, як Virusdie допомагає в боротьбі з подібними. файлами.
Часто, картина інфікування сайтів і серверів передбачає інфікування виконуваних файлів, або створення нових. У той же час, в окрему групу варто виділити інфекції, що маскуються під файли зображень або модернізують їх. Складність пошуку та усунення подібних заражень полягає не тільки в самому принципі їх виявлення, а й у наслідках, до яких може призвести їхнє автоматичне усунення або просте видалення файлів.
Шкідливий файл під виглядом зображення
Подібні описаному нижче випадку зустрічаються досить часто. На сервер зловмисником завантажується файл із типовим розширенням зображення (наприклад, *.ico, *.png, *.jpg тощо), що містить код.
Виклик шкідливого файлу прописується в одному з файлів, що виконуються при роботі CMS сайту. Це може бути як основний файл index.php, так і один із файлів шаблону CMS. Виявити візуально такий файл досить легко. Зазвичай, саме ім'я подібного файлу може навіть непідготовленого користувача навести на думку про його підозрілість, наприклад, favicon_9b3623.ico. Ви можете легко переконатися у шкідливості файлу, просто відкривши його у редакторі. У випадку, якщо ви, відкривши файл зображення, побачите осмислений код, файл шкідливий.
Однак, якщо в цьому випадку виявлення найшкідливішого об'єкта не складає труднощів, усунення такого зараження потребує особливої уваги. У більшості випадків просте видалення файлу призведе до непрацездатності веб-сайту, оскільки неіснуючий файл викликається в одному з файлів CMS. Для того, щоб без наслідків усунути знайдене зараження, ви можете зробити пошук за файлами сайту, задавши як об'єкт пошуку фрагмент контенту, який містить ім'я файлу знайденої загрози (наприклад, favicon_9b3623.ico).
Після знаходження файлів, які містять виклик інфікованого об'єкта, вам залишиться просто видалити рядки звернення до зараженого файлу. У цьому випадку при видаленні інфекції, що маскується під файл зображення, пройде безболісно для роботи вашого сайту.
Шкідливий код у реальному файлі зображення
Випадки інфікування реальних файлів зображень набагато рідкіші, ніж створення шкідливих файлів, що містять php-код у явному вигляді і лише мають розширення, що відповідає зображенню. Але небезпека подібних заражень полягає в їхньому складному детектуванні, що майже виключає можливість виявлення подібних файлів вручну.
Часто, фрагмент дописується до кінця бінарного файлу зображення. Ім'я самого файлу залишається незмінним, а часто, зберігається і оригінальний час останньої легальної модифікації файлу для уникнення детектування, що базується на виявленні змінених файлів на сервері за певний період часу. Випадок, що описується, досить нетривіальний для детектування і, тим більше, для усунення.
Із завданнями подібного класу різні антивірусні засоби працюють різними методами, множина з яких заснована на комплексному підході, що враховує різні фактори. Наприклад, до файлу, в процесі сканування, застосовуються одночасно як методи репутації, так і евристичні і, в деяких випадках, навіть сигнатурні.
У більшості випадків оптимальним варіантом усунення виявленого зараження буде, як у подібному випадку, саме відновлення немодифікованого файлу з резервної копії або усунення фрагмента коду. Однак, вам слід бути обережними та попередньо перевірити, чи не містить вихідна копія цього файлу зображення шкідливих включень.
Підхід Virusdie до аналізу файлів зображень
З 5 квітня 2018 року Virusdie запускає програму тестування нових алгоритмів, що дозволяють не тільки детектувати описані вище випадки інфікування, але й усувати більшість з них в автоматичному режимі без наслідків для працездатності сайтів. Первинне тестування буде проводитися на всій лінійці продуктів Virusdie, але помічатимуться знайдені фали як «Підозріння». Також, під час тестування нової логіки детектування, автоматичне усунення знайдених об'єктів не буде доступним, щоб уникнути порушення працездатності веб-ресурсів клієнтів.
Для усунення знайдених заражень ви завжди можете скористатися нашими порадами, наведеними вище в цій статті.
