Blog. Just Blog

Как в Windows подменить одну программу другой

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Software | Автор: ManHunter
Как в Windows подменить одну программу другой
Как в Windows подменить одну программу другой

Не так давно мне довелось чистить компьютер у знакомых от трояна, который на тот момент не обнаруживался ни одним антивирусом. Одно из проявлений зловреда заключалось в том, что при попытке запустить Firefox, Chrome или Opera, вместо них запускался Internet Explorer с предустановленным говносайтом. Переустановка браузеров ничем не помогла, но зато при переименовании исполняемых файлов браузеров они запускались как обычно. Это натолкнуло меня на мысль, что зловред каким-то образом ориентируется на имя файла. Поиск по реестру и последующее ковыряние в интернетах привело меня к хитрому трюку, который использовался в этом трояне. Речь идет о подмене одной программы другой.

В Windows есть специальная функция Image File Execution Options (IFEO), которая позволяет автоматически запускать системный или пользовательский отладчик при запуске определенного приложения. Делается это через реестр, достаточно создать ключ вида HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\victim.exe, а в нем создать строковый параметр со значением "Debugger"="C:\Somewhere\evil.exe". Теперь при попытке запуска файла victim.exe вместо него будет запущен файл evil.exe. Как вы догадались, троян создавал такие ключи реестра для каждого из браузеров, а в качестве отладчика прописывал себя. В результате вместо браузера запускался вредонос, который, в свою очередь, запускал Internet Explorer. Проблема решилась удалением ключей из реестра.

Ключ в реестре
Ключ в реестре

Кстати, подобный трюк используют совершенно легальные программы. Например, Process Explorer от Марка Руссиновича с соответствующей настройкой таким образом подменяет собой системный Диспетчер задач. И это действительно очень удобно. Добавил всего одну запись в реестр и готово, физически никаких файлов в системе заменять не надо. Удалил запись и все вернулось на свои места.

Process Explorer подменяет Диспетчер задач
Process Explorer подменяет Диспетчер задач

Вот так мы в очередной раз убедились, что любое знание можно использовать как во благо, так и во вред. С пострадавшими проведена беседа, чтобы не лазили в Интернете туда, куда собака свой х..(вост) не засунет. А еще у меня появилось желание поэкспериментировать на Ассемблере на тему IFEO, чтобы проверить некоторые свои догадки. Но это будет уже совсем другая история.

Поделиться ссылкой ВКонтакте
Просмотров: 4968 | Комментариев: 3

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
WL (23.06.2019 в 12:58):
Знакомым которые совсем плохо дружат с ПК и безопасностью я делаю грамонтную настройку Win, отбираю права админа, иногда включаю даже SRP. Автоматические обновления системы естественно включены. Антивирус после грамотной настройки становиться не нужен. Еще полезно бывает создать для потенциально опасных приложений отдельных пользователей-песочниц. Хоть в это и трудно поверить, но за 15 лет ни у кого ни одного заражения.
Василий (22.06.2019 в 17:28):
Хорошее место, в своё время пилил перехватчик cmd.exe, тоже для выявления зловредов)))
DiPrm (22.06.2019 в 08:43):
Ух.. прям шпионский роман. Ждём продолжения.  Не раскрыли только автора трояна из поднебесной)

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2025
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0025 сек.) / Память: 4.5 Mb
Наверх