На фундаментальном уровне этот вид инструмента ничем не отличается от самораспаковывающегося архива (SFX). Все, что он делает, это сжимает некоторые файлы и включает их в качестве ресурсов в исполняемый файл, который распакует их и затем запустит один или несколько файлов. Точно такая же функциональность доступна в обычных инструментах, таких как 7-zip и WinRAR, и именно так работают установщики на базовом уровне.
Единственное, что отличается в этом продукте, это то, что самораспаковывающийся компонент (исполняемая часть, которая извлекает другие файлы) разработан так, что его невозможно обнаружить, в то время как обычные SFX при запуске показывают диалоговое окно с указанием декомпрессии, и даже если содержимое зашифровано и распознается как SFX. Это единственный способ отличить данный продукт от стандартной системы SFX.
Таким образом, функциональность не нова и не зависит от вредоносных программ. Что характерно для вредоносного ПО, так это то, что оно спроектировано так, чтобы быть скрытым. Несмотря на это, для интеллектуальных пользователей это все еще не очень эффективный способ распространения вредоносных программ. Хотя файлу может быть присвоен произвольный значок и имя, он должен быть исполняемым файлом и помечаться как таковой, поэтому этот инструмент просто повторяет, что вы никогда не должны запускать теневые исполняемые файлы.
Когда вы используете это в вредоносных программах, вектор выглядит так: вы отправляете по электронной почте (или распространяете иным образом, чаще всего по электронной почте) файл с именем funny cats.docx.exe
или что-то в этом роде. На компьютерах с Windows расширение файла скрыто, поэтому пользователь просто видит funny cats.docx
. Вы можете упаковать с исполняемым файлом значок Microsoft Word, чтобы он выглядел прямо при первом осмотре. Когда пользователь дважды щелкает файл, чтобы открыть его, вы распаковываете фактический документ Word и запускаете его, чтобы Word запустил и загрузил файл (пользователь получает то, что хочет, некоторые забавные коты). В то же время вы распаковываете троян / загрузчик и запускаете его. Он устанавливается где-то незаметно и загружает реальную полезную нагрузку (своего рода клиент ботнета).
Этого можно избежать, если пользователи усердно работают с файлами, которые они запускают. Не забудьте посмотреть, что это за файл на самом деле, особенно если у вас отключены расширения файлов (я всегда меняю настройки, чтобы показать расширения файлов). В последних версиях Windows (Vista и 7) большинству троянов требуются административные привилегии, поэтому для эффективности funny cats.docx
потребуется вызвать приглашение UAC, чтобы установить троян, поэтому также убедитесь, что пользователи обучены думать о подсказках UAC - они не должны не вижу никого, когда они этого не ожидают.