Hogyan képesek a Hackerek elrejteni a rosszindulatú programokat hamis fájlkiterjesztésekkel
A fájlkiterjesztések hamisíthatók - a .mp3 kiterjesztésű fájl valójában végrehajtható program lehet. A hackerek hamisíthatják a fájlkiterjesztéseket egy speciális Unicode karakter használatának visszaélésével, ami a szöveget fordított sorrendben jeleníti meg.
A Windows alapértelmezés szerint elrejti a fájlkiterjesztéseket is, ami egy újabb módja annak, hogy a kezdő felhasználók megtéveszthetők - egy fájl, mint a picture.jpg.exe, ártalmatlan JPEG képfájlként jelenik meg.
Fájlbővítmények álcázása az „Unitrix” Exploit használatával
Ha mindig azt mondja a Windows-nak, hogy fájlkiterjesztéseket jelenítsen meg (lásd alább), és figyeljen rájuk, akkor úgy gondolja, hogy biztonságban van a fájl kiterjesztéssel kapcsolatos Shenanigans-ről. Vannak azonban más módok is, amelyekkel az emberek elrejthetik a fájl kiterjesztését.
Az Egységes kártevő által használt "Egységes" kiaknázás az Avast-szel, ez a módszer kihasználja az Unicode speciális karakterét, hogy megfordítsa a karakterek sorrendjét egy fájlnévben, elrejtve a veszélyes fájlkiterjesztést a fájlnév közepén és egy ártalmatlan megjelenésű hamis fájlkiterjesztést helyezünk el a fájlnév vége felé.
Az Unicode karakter U + 202E: jobbra-balra felülírás, és a programokat a fordított sorrendben megjelenítő szöveg kényszeríti. Bár nyilvánvalóan hasznos bizonyos célokra, valószínűleg nem szabad támogatni a fájlnevekben.
Lényegében a fájl tényleges neve valami hasonló lehet: „Awesome Song feltöltve [U + 202e] 3 pm.SCR”. A speciális karakter arra kényszeríti a Windows-t, hogy a fájlnév végét fordított formában jelenítse meg, így a fájl neve „Awesome Song feltöltve az RCS.mp3 által” jelenik meg. Azonban ez nem egy MP3 fájl - ez egy SCR fájl, és akkor fog végrehajtani, ha duplán kattint. (Lásd a további veszélyes fájlkiterjesztések típusait.)
Ez a példa egy repedési helyről származik, mivel úgy gondoltam, hogy ez különösen megtévesztő - tartsa szem előtt a letöltött fájlokat!
A Windows alapértelmezés szerint elrejti a fájlkiterjesztéseket
A legtöbb felhasználó számára kiképezték, hogy nem indítanak el nem megbízható .exe fájlokat az internetről, mert rosszindulatúak lehetnek. A legtöbb felhasználó azt is tudja, hogy bizonyos típusú fájlok biztonságosak - például ha van egy image.jpg nevű JPEG-kép, akkor duplán rákattinthat, és megnyílik a képnézegető programban, anélkül, hogy a fertőzés veszélye fenyegetne.
Csak egy probléma van - a Windows alapértelmezés szerint elrejti a fájlkiterjesztéseket. A image.jpg fájl valójában image.jpg.exe, és amikor duplán kattint, elindítja a rosszindulatú .exe fájlt. Ez az egyik olyan helyzet, amikor a felhasználói fiókok felügyelete segíthet - a rosszindulatú programok továbbra is károkat okozhatnak rendszergazdai jogosultságok nélkül, de nem képesek a teljes rendszert veszélyeztetni.
Még rosszabb, hogy a rosszindulatú egyének tetszőleges ikont állíthatnak be a .exe fájlhoz. A image.jpg.exe fájl a szabványos kép ikon használatával ártalmatlan kép lesz a Windows alapértelmezett beállításával. Míg a Windows megmondja, hogy ez a fájl egy alkalmazás, ha megnézed, sok felhasználó nem veszi észre ezt.
Fájlkiterjesztések megtekintése
Ennek megakadályozása érdekében engedélyezheti a fájlkiterjesztéseket a Windows Intéző mappájának beállításai ablakában. Kattintson a Szervezés gombra a Windows Intézőben, és válassza a lehetőséget Mappa- és keresési opciók megnyitni.
Törölje a jelölést a Az ismert fájltípusok kiterjesztéseinek elrejtése jelölőnégyzetet a Nézet lapon, és kattintson az OK gombra.
Az összes fájlkiterjesztés most látható lesz, így látni fogja a rejtett .exe fájlkiterjesztést.
.exe Nem az egyetlen veszélyes fájl kiterjesztés
A .exe fájlkiterjesztés nem az egyetlen veszélyes fájlkiterjesztés, amelyre figyelni kell. Az ilyen fájlkiterjesztésekkel végződő fájlok a rendszeren is futtathatnak kódot, így veszélyesek is lehetnek:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Ez a lista nem teljes. Ha például telepítette az Oracle Java alkalmazást, a .jar fájlkiterjesztés is veszélyes lehet, mivel elindítja a Java programokat.