Остерегайтесь PIFов!

Остерегайтесь PIFов!

25.10.2000

За безобидными файлами могут скрываться опасные монстры!

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, обращает внимание пользователей на серьезную угрозу, которую могут представлять программы с расширением PIF для безопасности персональных компьютеров и корпоративных сетей. Из-за низкого уровня информированности по данной проблеме, в последнее время значительно участились случаи проникновения вирусов с использованием PIF-файлов.

PIF-файлы (Program Information File) являются стандартными файлами операционной системы Windows, которые используются для хранения информации о параметрах запуска DOS-приложений. В них записываются данные об имени, размере, рабочей директории, датах создания и модификации, размере окна приложения, использовании памяти, приоритетности процесса и др. Такая особенность Windows позволяет избежать необходимости кропотливой настройки DOS-программ каждый раз при их запуске. Это достаточно сделать один раз и сохранить все настройки в PIF-файле.

Таким образом, PIF-файлы содержат исключительно техническую информацию о работе DOS-программ в Windows и, казалось бы, не могут быть вредоносными программами. Это ошибочное мнение порождает невнимательность пользователей по отношению к файлам с таким расширением. Многие владельцы персональных компьютеров запускают эти программы, не проводя проверку на вирусы.

Опасность заключается в том, что в PIF-файлы можно встраивать исполняемые модули, например, BAT, EXE или COM программы, которые будут автоматически выполняться при запуске основного файла.

Наглядным примером внедрения в PIF-файл вредоносной программы является первый в своем роде Интернет червь 'Fable'. Он попадает на компьютер в виде сообщения электронной почты, имеющего заголовок, случайно выбираемый из трех вариантов:

  • Fable
  • Something You Should Read
  • Very Important That You Receive This

В теле письма значится одна из следующих фраз:

  • A nice little fable
  • Wanted to make sure you received this

Кроме того, сообщение содержит вложенный файл FABLE.PIF. При его запуске червь посредством хитрых манипуляций создает дополнительные файлы, обеспечивающие его распространение по каналам IRC и электронной почте. Последнее происходит довольно стандартным путем: специально созданная скрипт-программа незаметно для пользователя получает доступ к функциям почтового клиента Outlook и рассылает зараженные сообщения описанного выше формата по всем адресам, находящимся в адресной книге.

Другим наглядным примером злоупотребления PIF-файлов является Интернет червь MTX, обнаруженный в сентябре и вызвавший крупномасштабную эпидемию во всем мире. В рассылаемых им сообщениях электронной почты также содержатся файлы с расширением PIF. Однако, на самом деле, эти файлы являются обыкновенными EXE-программами с переименованным расширением. При запуске такого PIF-файла программа успешно выполняется. Тонкий расчет сделан на то, что пользователи, дезориентированные кажущейся безопасностью PIF-файла, запустят его.

"Лаборатория Касперского" до сих пор не получала от пользователей сообщений о фактах заражения Интернет червем 'Fable'. "Мы считаем 'Fable' скорее продуктом удачного эксперимента, доказавшего возможность существования в PIF-файлах вредоносных программ, нежели реальной угрозой эффективной работе пользователей, - комментирует Денис Зенкин, руководитель информационной службы компании, - однако, сложно предугадать насколько будут опасны вирусы этого типа, которые могут появиться в будущем. К тому же, под PIF-файлами можно маскировать любые другие исполняемые файлы. В связи с этим, мы рекомендуем быть максимально осторожными в отношении PIF-файлов, особенно, если Вы получили их из источников, не заслуживающих доверия".

Техническое описание Интернет-червя Fable доступно в Вирусной Энциклопедии "Лаборатории Касперского"