18Aug

Hur hackare kan dölja skadliga program med falska filtillägg

Filförlängningar kan bli faktade - den filen med en. mp3-förlängning kan faktiskt vara ett körbart program. Hackers kan förfalska filtillägg genom att missbruka ett speciellt Unicode-tecken, vilket tvingar text att visas i omvänd ordning.

Windows döljer också filtillägg som standard, vilket är ett annat sätt att nybörjare kan luras - en fil med ett namn som picture.jpg.exe kommer att visas som en ofarlig JPEG-bildfil.

Förtäcka filförlängningar med "Unitrix" Exploit

Om du alltid berättar Windows för att visa filtillägg( se nedan) och uppmärksamma dem, kanske du tror att du är säker från filförlängningsrelaterade shenanigans. Det finns dock andra sätt att människor kan dölja filtillägget.

Dubbat "Unitrix" utnyttjas av Avast efter att det använts av Unitrix malware. Denna metod utnyttjar ett specialtecken i Unicode för att vända ordningsföljden i ett filnamn, gömma den farliga filtillägget i mitten av filennamnge och placera en oskadlig falsk filtillägg nära slutet av filnamnet.

Unicode-tecknet är U + 202E: Höger till vänster Åsidosätt, och det tvingar program för att visa text i omvänd ordning.Även om det är uppenbart användbart för vissa ändamål, borde det antagligen inte stödjas i filnamn.

I huvudsak kan filens faktiska namn vara som "Awesome Song uppladdad av [U + 202e] 3 pm. SCR".Specialteckenet tvingar Windows att visa slutet på filens namn i omvänd ordning, så filens namn kommer att visas som "Awesome Song uppladdad av RCS.mp3".Det är dock inte en MP3-fil - det är en SCR-fil och den kommer att köras om du dubbelklickar på den.(Se nedan för fler typer av farliga filtillägg.)

Detta exempel är taget från en sprickplats, eftersom jag tyckte att det var särskilt bedrägligt - hålla koll på filerna du laddar ner!

Windows döljer filförlängningar som standard

De flesta användare har utbildats för att inte starta otillförlitliga. exe-filer från Internet eftersom de kan vara skadliga. De flesta användare vet också att vissa typer av filer är säkra - till exempel om du har en JPEG-bild som heter image.jpg, kan du dubbelklicka på den och den öppnas i ditt bildvisningsprogram utan risk för infektion.

Det finns bara ett problem - Windows döljer filtillägg som standard. Image.jpg-filen kan faktiskt vara image.jpg.exe, och när du dubbelklickar på den startar du den skadliga. exe-filen. Det här är en av de situationer där användarkontokontroll kan hjälpa till - skadlig programvara kan fortfarande skada utan administratörsbehörigheter men kommer inte att kunna kompromissa hela ditt system.

Värre än, skadliga personer kan ställa in vilken ikon de vill ha för. exe-filen. En fil med namnet image.jpg.exe med standardbildsikonen kommer att se ut som en ofarlig bild med Windows standardinställningar. Medan Windows kommer att berätta att den här filen är en applikation om du tittar noga, kommer många användare inte att märka detta.

Visa filförlängningar

För att skydda mot detta kan du aktivera filtillägg i Windows Explorer-mappinställningar. Klicka på knappen Organiser i Utforskaren och välj Mapp- och sökalternativ för att öppna den.

Avmarkera Dölj tillägg för kända filtyper kryssrutan på fliken Visa och klicka på OK.

Alla filtillägg är nu synliga, så du får se den dolda. exe-filtillägget.

. exe är inte den enda farliga filförlängningen

. Exe-filtillägget är inte den enda farliga filtillägget att se efter. Filer som slutar med dessa filtillägg kan också köra kod på ditt system, vilket gör dem farliga också:

. bat,. cmd,. com,. lnk,. pif,. scr,. vb,. vbe,. vbs,. wsh

Denna lista är inte uttömmande. Om du till exempel har Oracle Java installerat, kan. jar filtillägget också vara farligt, eftersom det startar Java-program.