Японская команда JPCERT рассказала о файлах-полиглотах

Специфика таких файлов в том, что разные приложения определяют их по-разному. Например, файлы безопасны в PDF, но содержат вредоносный код в альтерантивных форматах.

Такие файлы называются полиглотами.

Так, например, исследователи разбирают файл, в котором большинство инструментов распознает безвредный PDF. Если открыть его же через офисное приложение и задать формат .doc, активируется встроенный VBS макрос для установки вредоносного ПО.

Такие "двуликие" файлы функционируют куда более эффективно и тонко, чем схожие вирусы, о которых было известно ранее.

Как можно бороться с новой угрозой?
• запретить Microsoft Office автоматические макросы
• программа «OLEVBA» помогает распознавать спрятанный код в сложных файлах .
• специальный набор сигнатур в Yara указывает на потенциально вредоносный код

Японская команда JPCERT рассказала о файлах-полиглотах
Мы в VK: https://vk.com/darkwebex