18Aug

Cómo los hackers pueden disfrazar programas maliciosos con extensiones de archivos falsos

click fraud protection
Las extensiones de archivo

pueden ser falsificadas: ese archivo con extensión. mp3 puede ser realmente un programa ejecutable. Los hackers pueden falsificar extensiones de archivos abusando de un carácter Unicode especial, forzando que el texto se muestre en orden inverso.

Windows también oculta las extensiones de archivos de manera predeterminada, que es otra forma en que los usuarios novatos pueden ser engañados: un archivo con un nombre como picture.jpg.exe aparecerá como un archivo de imagen JPEG inofensivo.

Disfrazar las extensiones de archivos con el Explorador "Unitrix"

Si siempre le dice a Windows que muestre las extensiones de archivo( ver a continuación) y le preste atención, puede pensar que está a salvo de los chanchullos relacionados con la extensión de archivos. Sin embargo, hay otras formas en que las personas pueden disfrazar la extensión del archivo.

Denotado como el exploit "Unitrix" por Avast después de ser utilizado por el malware Unitrix, este método aprovecha un carácter especial en Unicode para invertir el orden de los caracteres en un nombre de archivo, ocultando la peligrosa extensión de archivo en el medio del archivonombrar y colocar una extensión de archivo falso de aspecto inofensivo cerca del final del nombre del archivo.

instagram viewer

El carácter Unicode es U + 202E: anulación de derecha a izquierda y obliga a los programas a mostrar el texto en orden inverso. Si bien es obviamente útil para algunos propósitos, probablemente no debería ser compatible con los nombres de los archivos.

Básicamente, el nombre real del archivo puede ser algo así como "Awesome Song cargado por [U + 202e] 3 pm. SCR".El carácter especial obliga a Windows a mostrar el final del nombre del archivo en orden inverso, por lo que el nombre del archivo aparecerá como "Awesome Song subido por RCS.mp3".Sin embargo, no es un archivo MP3, es un archivo SCR y se ejecutará si hace doble clic en él.(Consulte a continuación más tipos de extensiones de archivos peligrosas.)

Este ejemplo está tomado de un sitio de cracking, ya que pensé que era particularmente engañoso. ¡Observe los archivos que descarga!

Windows oculta las extensiones de archivo de manera predeterminada

La mayoría de los usuarios han recibido capacitación para no iniciar la descarga de archivos. exe no confiables de Internet, ya que pueden ser maliciosos. La mayoría de los usuarios también saben que algunos tipos de archivos son seguros; por ejemplo, si tiene una imagen JPEG llamada image.jpg, puede hacer doble clic en ella y se abrirá en su programa de visualización de imágenes sin ningún riesgo de infección.

Solo hay un problema: Windows oculta las extensiones de archivos de forma predeterminada. El archivo image.jpg en realidad puede ser image.jpg.exe, y cuando hace doble clic en él, iniciará el archivo. exe malicioso. Esta es una de las situaciones en las que el Control de cuentas de usuario puede ayudar: el malware aún puede causar daños sin permisos de administrador, pero no podrá comprometer todo el sistema.

Peor aún, las personas malintencionadas pueden configurar cualquier icono que quieran para el archivo. exe. Un archivo llamado image.jpg.exe que utiliza el ícono de imagen estándar se verá como una imagen inofensiva con la configuración predeterminada de Windows. Si bien Windows le dirá que este archivo es una aplicación, si mira de cerca, muchos usuarios no lo notarán.

Visualización de las extensiones de archivo

Para ayudar a protegerse de esto, puede habilitar las extensiones de archivo en la ventana Configuración de carpetas del Explorador de Windows. Haga clic en el botón Organizar en el Explorador de Windows y seleccione la carpeta y las opciones de búsqueda para abrirlo.

Desmarque la casilla Ocultar extensiones para tipos de archivos conocidos en la pestaña Ver y haga clic en Aceptar.

Todas las extensiones de archivos ahora estarán visibles, por lo que verá la extensión de archivo. exe oculto.

. exe no es la única extensión de archivo peligroso

La extensión de archivo. exe no es la única extensión de archivo peligroso a tener en cuenta. Los archivos que terminan en estas extensiones también pueden ejecutar código en su sistema, haciéndolos peligrosos también:

. bat,. cmd,. com,. lnk,. pif,. scr,. vb,. vbe,. vbs,. wsh

Esta lista no es exhaustiva. Por ejemplo, si tiene Java de Oracle instalado, la extensión de archivo. jar también puede ser peligrosa, ya que lanzará programas Java.