Jak mohou hackeři zamaskovat škodlivé programy s falešnými příponami souborů

Přípony souborů mohou být padělané - soubor s příponou .mp3 může být vlastně spustitelný program. Hackeři mohou falešné přípony souborů zneužívat speciální znak Unicode, což nutí text, aby se zobrazil v opačném pořadí.

Windows také ve výchozím nastavení skrývá přípony souborů, což je jiný způsob, jak mohou být noví uživatelé podvedeni - soubor s názvem jako obrázek.jpg.exe se zobrazí jako neškodný obrazový soubor JPEG.

Zakrývání souborů s rozšířením o "Unitrix"

Pokud vždy říkáte, že systém Windows zobrazuje přípony souborů (viz níže) a věnujte jim pozornost, možná si myslíte, že jste v bezpečí před shenanigans souvisejícími s rozšířeními souborů. Existují však i jiné způsoby, jak mohou lidé překrývat příponu souboru.

Vyjádřený název "Unitrix" využívaný firmou Avast poté, co byl používán malwarem Unitrix, tato metoda využívá v Unicode speciální znak pro zpětné pořadí znaků v názvu souboru, skrývající nebezpečné přípony souborů uprostřed názvu souboru a umístění neškodného vyhlížejícího falešného souboru poblíž konce názvu souboru.

Znak Unicode je U + 202E: Přepsání vpravo doleva a vynutí programy k zobrazení textu v opačném pořadí. I když je to zjevně užitečné pro některé účely, pravděpodobně by nemělo být podporováno v názvech souborů.

V podstatě skutečné jméno souboru může být něco jako "Awesome Song uploaded by [U + 202e] 3 pm.SCR". Zvláštní znak přiměje Windows k zobrazení konce názvu souboru v opačném pořadí, takže název souboru se objeví jako "Awesome Song Uploaded by RCS.mp3". Nejedná se však o soubor MP3 - je to soubor SCR, který bude proveden, pokud jej poklepete. (Další typy nebezpečných přípon naleznete níže.)

Tento příklad je převzat z místa krakování, protože jsem si myslel, že je to zvláště podvodné - pozor na stažené soubory!

Windows skrývá rozšíření souborů podle výchozího nastavení

Většina uživatelů byla vyškolena, aby nezahájily nedůvěryhodné soubory .exe stahované z internetu, protože mohou být škodlivé. Většina uživatelů také ví, že některé typy souborů jsou bezpečné - například pokud máte obrázek JPEG s názvem image.jpg, můžete jej dvakrát kliknout a otevřít jej v programu pro prohlížení obrázků bez rizika infikování.

Jediný problém je, že ve výchozím nastavení systém Windows skrývá přípony souborů. Soubor image.jpg může být ve skutečnosti image.jpg.exe a po jeho dvojitém kliknutí spustíte škodlivý soubor .exe. Jedná se o jednu z situací, kdy může pomoci Kontrola uživatelských účtů - škodlivý software může stále dělat škody bez oprávnění administrátora, ale nebude moci ohrozit celý váš systém.

Ještě horší je, že zlomysečníci mohou nastavit libovolnou ikonu, kterou chtějí pro soubor .exe. Soubor s názvem image.jpg.exe pomocí standardní ikony obrazu bude vypadat jako neškodný obraz s výchozím nastavením systému Windows. Zatímco systém Windows vám řekne, že tento soubor je aplikace, pokud se podíváte pozorně, mnoho uživatelů si to nevšimne.

Prohlížení rozšíření souborů

K ochraně proti tomu můžete povolit přípony souborů v okně Nastavení složky složky Průzkumník Windows. Klepněte na tlačítko Organizovat v Průzkumníku Windows a vyberte Možnosti složky a hledání otevřít.

Zrušte zaškrtnutí Skrýt rozšíření pro známé typy souborů zaškrtněte políčko na kartě Zobrazení a klepněte na tlačítko OK.

Všechna rozšíření souborů budou nyní viditelná, takže se zobrazí skrytá přípona souboru exe.

.exe není pouze rozšíření nebezpečného souboru

Přípona souboru exe není jediným nebezpečným příponou, na kterou se chcete podívat. Soubory, které končí těmito příponami, mohou také spustit kód na vašem systému, což je také nebezpečné:

.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

Tento seznam není vyčerpávající. Například pokud máte nainstalovanou Javu Oracle, rozšíření souboru .jar může být také nebezpečné, protože spustí programy Java.