Как хакеры могут замаскировать вредоносные программы с помощью поддельных расширений файлов

Расширения файлов могут быть подделаны — этот файл с расширением .mp3 может фактически быть исполняемой программой. Хакеры могут подделывать расширения файлов, используя специальный символ Unicode, заставляя текст отображаться в обратном порядке.

Windows также скрывает расширения файлов по умолчанию, что является еще одним способом обмануть начинающих пользователей — файл с именем наподобие picture.jpg.exe будет отображаться как безвредный файл изображения JPEG.

Маскировка расширений файлов с помощью эксплойта «Unitrix»

Если вы всегда говорите Windows показывать расширения файлов (см. Ниже) и обращать на них внимание, вы можете подумать, что вы защищены от махинаций, связанных с расширениями файлов. Однако есть и другие способы, которыми люди могут замаскировать расширение файла.

Дублированный Avast после использования «Unitrix» после его использования вредоносным ПО Unitrix, этот метод использует специальный символ в Unicode для изменения порядка символов в имени файла, скрывая опасное расширение файла в середине имени файла. и помещая безвредное на вид поддельное расширение файла рядом с концом имени файла.

Символ Unicode — это U + 202E: Переопределение справа налево, и он заставляет программы отображать текст в обратном порядке. Хотя это, безусловно, полезно для некоторых целей, его, вероятно, не следует поддерживать в именах файлов.

По сути, фактическое имя файла может быть чем-то вроде «Awesome Song, загруженная [U + 202e] 3 pm.SCR». Специальный символ заставляет Windows отображать конец имени файла в обратном порядке, поэтому имя файла будет выглядеть как «Awesome Song uploaded by RCS.mp3». Однако это не файл MP3 — это файл SCR, и он будет выполнен, если вы дважды щелкните по нему. (См. Ниже для других типов опасных расширений файлов.)

Этот пример взят с сайта для взлома, так как я думал, что он был особенно обманчив — следите за файлами, которые вы загружаете!

Windows скрывает расширения файлов по умолчанию

Большинство пользователей обучены не запускать загрузку недоверенных файлов .exe из Интернета, поскольку они могут быть вредоносными. Большинство пользователей также знают, что некоторые типы файлов безопасны — например, если у вас есть изображение JPEG с именем image.jpg, вы можете дважды щелкнуть по нему, и оно откроется в вашей программе просмотра изображений без риска заражения.

Есть только одна проблема — Windows по умолчанию скрывает расширения файлов. Файл image.jpg на самом деле может быть image.jpg.exe, и если дважды щелкнуть по нему, вы запустите вредоносный файл .exe. Это одна из ситуаций, в которых может помочь контроль учетных записей: вредоносное ПО может по-прежнему наносить ущерб без прав администратора, но не сможет скомпрометировать всю систему.

Хуже того, злоумышленники могут установить любую иконку для файла .exe. Файл с именем image.jpg.exe с использованием стандартного значка изображения будет выглядеть как безвредное изображение с настройками Windows по умолчанию. Хотя Windows скажет вам, что этот файл является приложением, если вы посмотрите внимательно, многие пользователи не заметят этого.

Просмотр расширений файлов

Чтобы защитить себя от этого, вы можете включить расширения файлов в окне настроек папки Windows Explorer. Нажмите кнопку «Организовать» в проводнике Windows и выберите Параметры папок и поиска , чтобы открыть ее.

Снимите флажок Скрыть расширения для известных типов файлов на вкладке Вид и нажмите кнопку ОК.

Все расширения файлов теперь будут видны, поэтому вы увидите скрытое расширение файла .exe.

.exe не единственное опасное расширение файла

Расширение файла .exe — не единственное опасное расширение файла, на которое нужно обратить внимание. Файлы, заканчивающиеся этими расширениями, также могут запускать код в вашей системе, что также делает их опасными:

.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

Этот список не является исчерпывающим. Например, если у вас установлена ​​Oracle Java, расширение файла .jar также может быть опасным, так как оно будет запускать программы Java.

Оцените статью
TutoryBird.Ru
Добавить комментарий