18Aug

Jak hakerzy mogą ukrywać złośliwe programy za pomocą fałszywych rozszerzeń plików

Rozszerzenia plików można sfałszować - ten plik z rozszerzeniem. mp3 może faktycznie być programem wykonywalnym. Hakerzy mogą fałszować rozszerzenia plików, nadużywając specjalnego znaku Unicode, wymuszając wyświetlanie tekstu w odwrotnej kolejności.

Windows domyślnie ukrywa również rozszerzenia plików, co jest kolejnym sposobem na oszukanie początkujących użytkowników - plik o nazwie takiej jak picture.jpg.exe pojawi się jako nieszkodliwy plik obrazu JPEG.

Ukrywanie rozszerzeń plików za pomocą rozszerzenia "Unitrix"

Jeśli zawsze będziesz mówił systemowi Windows, aby wyświetlał rozszerzenia plików( patrz niżej) i zwracaj na nie uwagę, możesz myśleć, że chronisz się przed problemami związanymi z rozszerzeniem pliku. Istnieją jednak inne sposoby, aby ludzie mogli ukryć rozszerzenie pliku.

Nazwany exploitem "Unitrix" Avast po użyciu przez szkodliwe oprogramowanie Unitrix, ta metoda wykorzystuje specjalny znak w Unicode do odwrócenia kolejności znaków w nazwie pliku, ukrywając niebezpieczne rozszerzenie pliku w środku plikunazwij i umieść nieszkodliwy wygląd fałszywego rozszerzenia pliku pod koniec nazwy pliku.

Znak Unicode to U + 202E: Override od prawej do lewej i wymusza na programach wyświetlanie tekstu w odwrotnej kolejności. Chociaż jest to oczywiście przydatne do pewnych celów, prawdopodobnie nie powinno być obsługiwane w nazwach plików.

Zasadniczo nazwa pliku może wyglądać jak "Niesamowita piosenka przesłana przez [U + 202e] 3 pm. SCR".Znak specjalny wymusza na systemie Windows wyświetlenie końca nazwy pliku odwrotnie, dlatego nazwa pliku będzie wyglądać jak "Awesome Song uploaded by RCS.mp3".Jednak nie jest to plik MP3 - jest to plik SCR i zostanie wykonany, jeśli dwukrotnie go klikniesz.(Zobacz poniżej więcej rodzajów niebezpiecznych rozszerzeń plików.)

Ten przykład pochodzi z witryny, która łamie prawa, ponieważ uważam, że była szczególnie zwodnicza - pilnuj pobranych plików!

Windows ukrywa rozszerzenia plików domyślnie

Większość użytkowników została przeszkolona, ​​aby nie uruchamiać niezaufanych plików. exe pobieranych z Internetu, ponieważ mogą być złośliwe. Większość użytkowników wie również, że niektóre typy plików są bezpieczne - na przykład, jeśli masz obraz JPEG o nazwie image.jpg, możesz go kliknąć dwukrotnie i otworzy się on w programie do przeglądania zdjęć bez ryzyka zainfekowania.

Występuje tylko jeden problem - domyślnie Windows ukrywa rozszerzenia plików. Plik image.jpg może w rzeczywistości być plikiem image.jpg.exe, a po dwukrotnym kliknięciu uruchomisz złośliwy plik. exe. Jest to jedna z sytuacji, w których kontrola konta użytkownika może pomóc - szkodliwe oprogramowanie nadal może powodować szkody bez uprawnień administratora, ale nie będzie mogło narazić na szwank całego systemu.

Jeszcze gorzej, złośliwi mogą ustawić dowolną ikonę dla pliku. exe. Plik o nazwie image.jpg.exe korzystający ze standardowej ikony obrazu będzie wyglądał jak nieszkodliwy obraz z domyślnymi ustawieniami systemu Windows. Podczas gdy system Windows powie ci, że ten plik jest aplikacją, jeśli przyjrzysz się uważnie, wielu użytkowników tego nie zauważy.

Wyświetlanie rozszerzeń plików

Aby temu zapobiec, można włączyć rozszerzenia plików w oknie Ustawienia folderu Eksploratora Windows. Kliknij przycisk Organizuj w Eksploratorze Windows i wybierz Folder oraz opcje wyszukiwania , aby go otworzyć.

Odznacz Ukryj rozszerzenia znanych typów plików na karcie Widok i kliknij OK.

Wszystkie rozszerzenia plików będą teraz widoczne, więc zobaczysz ukryte rozszerzenie pliku. exe.

. exe nie jest jedynym niebezpiecznym rozszerzeniem pliku

Rozszerzenie pliku. exe nie jest jedynym niebezpiecznym rozszerzeniem pliku, na które należy zwrócić uwagę.Pliki kończące się tymi rozszerzeniami plików mogą również uruchamiać kod w systemie, co czyni je również niebezpiecznymi:

. bat,. cmd,. com,. lnk,. pif,. scr,. vb,. vbe,. vbs,. wsh

Ta lista nie jest wyczerpująca. Na przykład, jeśli masz zainstalowaną Javę Oracle, rozszerzenie pliku. jar może być niebezpieczne, ponieważ spowoduje uruchomienie programów Java.