18Aug
As extensões de arquivo podem ser falsas - esse arquivo com uma extensão. mp3 pode ser realmente um programa executável. Os hackers podem falsificar extensões de arquivo abusando de um caractere especial Unicode, forçando o texto a ser exibido na ordem inversa.
Windows também oculta as extensões de arquivo por padrão, o que é outra maneira de os usuários novatos podem ser enganados - um arquivo com um nome como picture.jpg.exe aparecerá como um arquivo de imagem JPEG inofensivo.
Disfarçando extensões de arquivo com o "Unitrix" Exploit
Se você sempre diz ao Windows para mostrar extensões de arquivo( veja abaixo) e preste atenção neles, você pode pensar que você está protegido contra shenanigans relacionados a extensão de arquivo. No entanto, existem outras maneiras pelas quais as pessoas podem disfarçar a extensão do arquivo.
Denunciou a vulnerabilidade "Unitrix" pela Avast após o uso do malware da Unitrix, este método tira proveito de um caractere especial no Unicode para reverter a ordem dos caracteres em um nome de arquivo, escondendo a extensão do arquivo perigoso no meio do arquivonomeie e coloque uma extensão de arquivo falso de aparência inofensiva perto do final do nome do arquivo.
O caractere Unicode é U + 202E: Substituição de Direita para Esquerda, e força programas a exibir texto na ordem inversa. Embora seja obviamente útil para alguns propósitos, provavelmente não deve ser suportado em nomes de arquivos.
Essencialmente, o nome real do arquivo pode ser algo como "Música incrível carregada por [U + 202e] 3 pm. SCR".O caractere especial força o Windows a exibir o fim do nome do arquivo ao contrário, de modo que o nome do arquivo aparecerá como "Música incrível carregada pelo RCS.mp3".No entanto, não é um arquivo MP3 - é um arquivo SCR e será executado se você clicar duas vezes nele.(Veja abaixo para mais tipos de extensões de arquivo perigosas.)
Este exemplo é tirado de um site de cracking, pois pensei que era particularmente enganoso - fique atento aos arquivos que você baixou!
O Windows oculta extensões de arquivo por padrão
A maioria dos usuários foi treinado para não iniciar o download de arquivos. exe não confiáveis a partir da Internet, pois podem ser maliciosos. A maioria dos usuários também sabe que alguns tipos de arquivos são seguros - por exemplo, se você tiver uma imagem JPEG chamada image.jpg, você pode clicar duas vezes e abrirá no seu programa de exibição de imagem sem risco de infecção.
Há apenas um problema: o Windows oculta extensões de arquivo por padrão. O arquivo image.jpg pode realmente ser image.jpg.exe, e quando você clicar duas vezes, você iniciará o arquivo. exe malicioso. Esta é uma das situações em que o Controle de Conta de Usuário pode ajudar - o malware ainda pode prejudicar sem permissões de administrador, mas não poderá comprometer seu sistema inteiro.
Pior ainda, pessoas mal-intencionadas podem definir qualquer ícone que desejam para o arquivo. exe. Um arquivo chamado image.jpg.exe usando o ícone de imagem padrão parecerá uma imagem inofensiva com as configurações padrão do Windows. Enquanto o Windows informará que este arquivo é um aplicativo se você olhar de perto, muitos usuários não perceberão isso.
Visualizando extensões de arquivo
Para ajudar a proteger contra isso, você pode ativar extensões de arquivo na janela Configurações de pastas do Windows Explorer. Clique no botão Organizar no Windows Explorer e selecione a pasta e as opções de busca para abri-lo.
Desmarque a caixa de seleção Ocultar extensões para tipos de arquivos conhecidos na guia Exibir e clique em OK.
Todas as extensões de arquivos agora estarão visíveis, então você verá a extensão de arquivo. exe oculta.
. exe não é a única extensão de arquivo perigoso
A extensão de arquivo. exe não é a única extensão de arquivo perigoso a ser procurada. Os arquivos que terminam com essas extensões de arquivo também podem executar código em seu sistema, tornando-os perigosos também:
. bat,. cmd,. com,. lnk,. pif,. scr,. vb,. vbe,. vbs,. wsh
Esta lista não é exaustiva. Por exemplo, se você tiver Java instalado da Oracle, a extensão de arquivo. jar também pode ser perigosa, pois ele irá iniciar programas Java.
