Иногда вредоносное приложение можно запустить даже не открывая файл.
Представленный видеоролик показывает, как эксплоиты, использующие уязвимость при
обработке JBIG2Decode в файлах формата PDF, запускаются даже без открытия
документа.
В первом случае для запуска эксплоита достаточно было лишь один раз кликнуть
по документу. Во втором случае для инициации атаки потребовалось поменять режим
отображения Windows Explorer, выбрав "Эскизы страниц". В таком режиме Explorer
отображает первую страницу PDF в виде эскиза. Во время рендеринга изображения
происходит чтение файла, и эксплоит запускается. Ну и наконец в третий раз для
начала работы вредоносного кода потребовалось лишь навести мышку на изображение
документа, не кликая по нему. Чтобы данный способ сработал, PDF-файл должен
содержать специальным образом подобранные метаданные, обращение к которым будет
произведено во время запроса дополнительной информации при наведении мышки.
А теперь подробнее остановимся на том, почему эксплоиты срабатывают даже тогда,
когда пользователь не открывает документ. Ответ кроется в использовании расширений оболочки Windows Explorer. Когда ты устанавливаешь Adobe
Acrobat Reader, вместе с ним устанавливается и расширение оболочки Column
Handler. Оно представляет собой специальную программу (объект COM), которая
позволяет Windows Explorer считывать дополнительную информацию о файлах, такую
как имя автора документа и так далее. И когда файл отображается в окнах Windows
Explorer, данное расширение может быть вызвано для получения информации о файле.
Расширение обращается к файлу и…
Поэтому эксперты советуют быть предельно внимательными при обращении с
вредоносными файлами. В случае, если их изучение необходимо для работы, они
рекомендуют пользователям переименовывать расширения опасных приложений и
переносить их в зашифрованном виде.