книги хакеры / журнал хакер / 207_Optimized

Рис. 9. Еще один вариант инфицированного документа

Некоторые документы совершенно пусты — появляется лишь кнопка «Включить содержимое». А никакого контента нет. Некоторые вообще не открывались — при открытии файла выдавало ошибку. Некоторые после нажатия заветной кнопки отказывались работать в 64-битной системе (рис. 10). Да, на рис. 10 — это результат открытия все еще документа Word, а не запуска EXE! Несмотря на то что скрин с семерки, в десятке ситуация такая же.

Рис. 10. В 64-разрядной системе мы не работаем

Рис. 12. Три угрозы в Windows 10

Промежуточный вывод

Если не поддаваться на провокации и не нажимать кнопку «Включить содержимое», вероятность становится близкой к нулю. Ведь чтобы инфицировать комп, нужно выполнить код в виде макроса, а, пока эту кнопку ты не нажмешь, код не будет выполнен. А раз нажал, то уж пеняй на себя. Также защиту системы повышает обновление ПО и использование 64-битных версий операционки — как показывает практика, старые макросы в новых версиях офиса выполняются с ошибками, а некоторые не могут выполняться в 64-битных системах. Скрины ошибок не привожу, поскольку их и так будет много в этой статье.

PDF-ДОКУМЕНТЫ

Теперь переходим к PDF-документам. Для открытия PDF в семерке используется Acrobat Reader DC 2015 — самая последняя версия, загруженная с официального сайта. В десятке мы будем использовать браузер Edge (он играет роль просмотрщика PDF).

На рис. 13 я открыл один из инфицированных PDF-документов в Win 7. Честно говоря, не ожидал такого эффекта. Стоит отметить, что после этого вируса Windows загрузилась со второй попытки. Поскольку при повторном открытии этого документа система больше не зависала, можно списать этот случай

опасности.

Рис. 15. Часто наблюдалась и такая картина

Рис. 16. Попытка открыть сразу с дюжину инфицированных PDF в Win 7

Рис. 17. Произвести обновление безопасности? :)

Что ж, открыты все 50 PDF-документов. Пора проверить систему сканером и посмотреть наш улов. Проверка угроз не обнаружила — ни в семерке, ни в десятке. Следовательно, в Win 7 при использовании последней версии Acrobat Reader вероятность инфицировать свой комп при открытии зараженного файла минимальна. Что же касается браузера Edge в Win 10, то в нем многие зараженные PDF не открылись.

Промежуточный вывод

Инфицированные PDF не пробились через новый Acrobat и Edge.

Рис. 21. Некоторые маскируются под стандартные инструменты: нужно проявлять бдительность

Опытный или попросту бдительный юзер сразу заподозрит что-то неладное. Как будут разворачиваться события далее, зависит от юзера: если он заблокирует запуск подозрительной программы (через UAC или брандмауэр), у вируса ничего не получится. В Win 7 я запретил запуск ipamor, а вот в Win 10 разрешил ему делать все, что захочется. Результат приведен на рис. 22 и 23.