18Aug

Como hackers podem disfarçar programas maliciosos com extensões de arquivo falso

click fraud protection

As extensões de arquivo podem ser falsas - esse arquivo com uma extensão. mp3 pode ser realmente um programa executável. Os hackers podem falsificar extensões de arquivo abusando de um caractere especial Unicode, forçando o texto a ser exibido na ordem inversa.

Windows também oculta as extensões de arquivo por padrão, o que é outra maneira de os usuários novatos podem ser enganados - um arquivo com um nome como picture.jpg.exe aparecerá como um arquivo de imagem JPEG inofensivo.

Disfarçando extensões de arquivo com o "Unitrix" Exploit

Se você sempre diz ao Windows para mostrar extensões de arquivo( veja abaixo) e preste atenção neles, você pode pensar que você está protegido contra shenanigans relacionados a extensão de arquivo. No entanto, existem outras maneiras pelas quais as pessoas podem disfarçar a extensão do arquivo.

Denunciou a vulnerabilidade "Unitrix" pela Avast após o uso do malware da Unitrix, este método tira proveito de um caractere especial no Unicode para reverter a ordem dos caracteres em um nome de arquivo, escondendo a extensão do arquivo perigoso no meio do arquivonomeie e coloque uma extensão de arquivo falso de aparência inofensiva perto do final do nome do arquivo.

instagram viewer

O caractere Unicode é U + 202E: Substituição de Direita para Esquerda, e força programas a exibir texto na ordem inversa. Embora seja obviamente útil para alguns propósitos, provavelmente não deve ser suportado em nomes de arquivos.

Essencialmente, o nome real do arquivo pode ser algo como "Música incrível carregada por [U + 202e] 3 pm. SCR".O caractere especial força o Windows a exibir o fim do nome do arquivo ao contrário, de modo que o nome do arquivo aparecerá como "Música incrível carregada pelo RCS.mp3".No entanto, não é um arquivo MP3 - é um arquivo SCR e será executado se você clicar duas vezes nele.(Veja abaixo para mais tipos de extensões de arquivo perigosas.)

Este exemplo é tirado de um site de cracking, pois pensei que era particularmente enganoso - fique atento aos arquivos que você baixou!

O Windows oculta extensões de arquivo por padrão

A maioria dos usuários foi treinado para não iniciar o download de arquivos. exe não confiáveis ​​a partir da Internet, pois podem ser maliciosos. A maioria dos usuários também sabe que alguns tipos de arquivos são seguros - por exemplo, se você tiver uma imagem JPEG chamada image.jpg, você pode clicar duas vezes e abrirá no seu programa de exibição de imagem sem risco de infecção.

Há apenas um problema: o Windows oculta extensões de arquivo por padrão. O arquivo image.jpg pode realmente ser image.jpg.exe, e quando você clicar duas vezes, você iniciará o arquivo. exe malicioso. Esta é uma das situações em que o Controle de Conta de Usuário pode ajudar - o malware ainda pode prejudicar sem permissões de administrador, mas não poderá comprometer seu sistema inteiro.

Pior ainda, pessoas mal-intencionadas podem definir qualquer ícone que desejam para o arquivo. exe. Um arquivo chamado image.jpg.exe usando o ícone de imagem padrão parecerá uma imagem inofensiva com as configurações padrão do Windows. Enquanto o Windows informará que este arquivo é um aplicativo se você olhar de perto, muitos usuários não perceberão isso.

Visualizando extensões de arquivo

Para ajudar a proteger contra isso, você pode ativar extensões de arquivo na janela Configurações de pastas do Windows Explorer. Clique no botão Organizar no Windows Explorer e selecione a pasta e as opções de busca para abri-lo.

Desmarque a caixa de seleção Ocultar extensões para tipos de arquivos conhecidos na guia Exibir e clique em OK.

Todas as extensões de arquivos agora estarão visíveis, então você verá a extensão de arquivo. exe oculta.

. exe não é a única extensão de arquivo perigoso

A extensão de arquivo. exe não é a única extensão de arquivo perigoso a ser procurada. Os arquivos que terminam com essas extensões de arquivo também podem executar código em seu sistema, tornando-os perigosos também:

. bat,. cmd,. com,. lnk,. pif,. scr,. vb,. vbe,. vbs,. wsh

Esta lista não é exaustiva. Por exemplo, se você tiver Java instalado da Oracle, a extensão de arquivo. jar também pode ser perigosa, pois ele irá iniciar programas Java.