18Aug

In che modo gli hacker possono nascondere programmi dannosi con estensioni di file false

Le estensioni dei file possono essere falsificate: quel file con estensione. mp3 potrebbe essere in realtà un programma eseguibile. Gli hacker possono falsificare estensioni di file abusando di uno speciale carattere Unicode, forzando la visualizzazione del testo in ordine inverso.

Windows nasconde anche le estensioni dei file per impostazione predefinita, il che è un altro modo in cui gli utenti inesperti possono essere ingannati - un file con un nome come picture.jpg.exe apparirà come un innocuo file di immagine JPEG.

che nasconde le estensioni dei file con "Unitrix" Exploit

Se si dice sempre a Windows di mostrare le estensioni dei file( vedere sotto) e prestare attenzione ad esse, si potrebbe pensare di essere al sicuro da shenanigans relativi all'estensione del file. Tuttavia, ci sono altri modi in cui le persone possono mascherare l'estensione del file.

Soprannominato l'exploit "Unitrix" di Avast dopo essere stato utilizzato dal malware di Unitrix, questo metodo sfrutta un carattere speciale in Unicode per invertire l'ordine dei caratteri nel nome di un file, nascondendo l'estensione di file pericolosa nel mezzo del filenome e collocando un'estensione di file finta dall'aspetto innocuo vicino alla fine del nome del file.

Il carattere Unicode è U + 202E: Esclusione da destra a sinistra e forza i programmi a visualizzare il testo in ordine inverso. Mentre è ovviamente utile per alcuni scopi, probabilmente non dovrebbe essere supportato nei nomi dei file.

Essenzialmente, il nome effettivo del file può essere qualcosa come "Impressionante canzone caricata da [U + 202e] 3 pm. SCR".Il carattere speciale impone a Windows di visualizzare la fine del nome del file al contrario, quindi il nome del file apparirà come "Awesome Song caricato da RCS.mp3".Tuttavia, non è un file MP3 - è un file SCR e verrà eseguito se si fa doppio clic su di esso.(Vedi sotto per altri tipi di estensioni di file pericolose.)

Questo esempio è preso da un sito di cracking, poiché pensavo che fosse particolarmente ingannevole: tieni d'occhio i file che scarichi!

Windows nasconde le estensioni dei file per impostazione predefinita

La maggior parte degli utenti è stata addestrata a non eseguire il download di file. exe non attendibili da Internet in quanto potrebbero essere dannosi. La maggior parte degli utenti sa anche che alcuni tipi di file sono sicuri: ad esempio, se si dispone di un'immagine JPEG denominata image.jpg, è possibile fare doppio clic e si aprirà nel programma di visualizzazione delle immagini senza alcun rischio di infezione.

C'è solo un problema: Windows nasconde le estensioni dei file per impostazione predefinita. Il file image.jpg potrebbe essere in realtà image.jpg.exe e quando si fa doppio clic su di esso verrà avviato il file. exe dannoso. Questa è una delle situazioni in cui può essere utile il Controllo dell'account utente: il malware può ancora causare danni senza le autorizzazioni dell'amministratore, ma non sarà in grado di compromettere l'intero sistema. Ancora peggiore di

, le persone malevole possono impostare qualsiasi icona che desiderano per il file. exe. Un file denominato image.jpg.exe che utilizza l'icona dell'immagine standard avrà l'aspetto di un'immagine innocua con le impostazioni predefinite di Windows. Mentre Windows ti dirà che questo file è un'applicazione se guardi da vicino, molti utenti non se ne accorgeranno.

Visualizzazione delle estensioni dei file

Per proteggersi da questo, è possibile abilitare le estensioni dei file nella finestra Impostazioni cartella di Esplora risorse. Fare clic sul pulsante Organizza in Esplora risorse e selezionare Cartella e opzioni di ricerca per aprirlo.

Deselezionare la casella di controllo Nascondi estensioni per tipi di file noti nella scheda Visualizza e fare clic su OK.

Tutte le estensioni dei file saranno ora visibili, quindi vedrai l'estensione del file. exe nascosta.

. exe non è l'unica estensione di file pericoloso

L'estensione di file. exe non è l'unica estensione di file pericolosa da cercare. I file che terminano con queste estensioni di file possono anche eseguire codice sul tuo sistema rendendolo pericoloso:

. bat,. cmd,. com,. lnk,. pif,. scr,. vb,. vbe,. vbs,. wsh

Questo elenco non è esaustivo. Ad esempio, se è installato Java di Oracle, anche l'estensione del file. jar può essere pericolosa poiché avvierà programmi Java.