
Как в Windows подменить одну программу другой

Как в Windows подменить одну программу другой
Не так давно мне довелось чистить компьютер у знакомых от трояна, который на тот момент не обнаруживался ни одним антивирусом. Одно из проявлений зловреда заключалось в том, что при попытке запустить Firefox, Chrome или Opera, вместо них запускался Internet Explorer с предустановленным говносайтом. Переустановка браузеров ничем не помогла, но зато при переименовании исполняемых файлов браузеров они запускались как обычно. Это натолкнуло меня на мысль, что зловред каким-то образом ориентируется на имя файла. Поиск по реестру и последующее ковыряние в интернетах привело меня к хитрому трюку, который использовался в этом трояне. Речь идет о подмене одной программы другой.
В Windows есть специальная функция Image File Execution Options (IFEO), которая позволяет автоматически запускать системный или пользовательский отладчик при запуске определенного приложения. Делается это через реестр, достаточно создать ключ вида HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\victim.exe, а в нем создать строковый параметр со значением "Debugger"="C:\Somewhere\evil.exe". Теперь при попытке запуска файла victim.exe вместо него будет запущен файл evil.exe. Как вы догадались, троян создавал такие ключи реестра для каждого из браузеров, а в качестве отладчика прописывал себя. В результате вместо браузера запускался вредонос, который, в свою очередь, запускал Internet Explorer. Проблема решилась удалением ключей из реестра.

Ключ в реестре
Кстати, подобный трюк используют совершенно легальные программы. Например, Process Explorer от Марка Руссиновича с соответствующей настройкой таким образом подменяет собой системный Диспетчер задач. И это действительно очень удобно. Добавил всего одну запись в реестр и готово, физически никаких файлов в системе заменять не надо. Удалил запись и все вернулось на свои места.

Process Explorer подменяет Диспетчер задач
Вот так мы в очередной раз убедились, что любое знание можно использовать как во благо, так и во вред. С пострадавшими проведена беседа, чтобы не лазили в Интернете туда, куда собака свой х..(вост) не засунет. А еще у меня появилось желание поэкспериментировать на Ассемблере на тему IFEO, чтобы проверить некоторые свои догадки. Но это будет уже совсем другая история.
Просмотров: 4968 | Комментариев: 3
Метки: система, безопасность

Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
WL
(23.06.2019 в 12:58):
Знакомым которые совсем плохо дружат с ПК и безопасностью я делаю грамонтную настройку Win, отбираю права админа, иногда включаю даже SRP. Автоматические обновления системы естественно включены. Антивирус после грамотной настройки становиться не нужен. Еще полезно бывает создать для потенциально опасных приложений отдельных пользователей-песочниц. Хоть в это и трудно поверить, но за 15 лет ни у кого ни одного заражения.

Василий
(22.06.2019 в 17:28):
Хорошее место, в своё время пилил перехватчик cmd.exe, тоже для выявления зловредов)))

DiPrm
(22.06.2019 в 08:43):
Ух.. прям шпионский роман. Ждём продолжения. Не раскрыли только автора трояна из поднебесной)

Добавить комментарий
Заполните форму для добавления комментария
