Как хакеры могут маскировать вредоносные программы с помощью поддельных расширений файлов

Оглавление:

Как хакеры могут маскировать вредоносные программы с помощью поддельных расширений файлов
Как хакеры могут маскировать вредоносные программы с помощью поддельных расширений файлов

Видео: Как хакеры могут маскировать вредоносные программы с помощью поддельных расширений файлов

Видео: Как хакеры могут маскировать вредоносные программы с помощью поддельных расширений файлов
Видео: Linux Tutorial for Beginners: Introduction to Linux Operating System - YouTube 2024, Апрель
Anonim
Расширения файлов можно подделать - этот файл с расширением.mp3 может быть исполняемой программой. Хакеры могут подделывать расширения файлов, злоупотребляя специальным символом Юникода, заставляя текст отображаться в обратном порядке.
Расширения файлов можно подделать - этот файл с расширением.mp3 может быть исполняемой программой. Хакеры могут подделывать расширения файлов, злоупотребляя специальным символом Юникода, заставляя текст отображаться в обратном порядке.

Windows также скрывает расширения файлов по умолчанию, что является другим способом, когда начинающие пользователи могут быть обмануты - файл с таким именем, как picture.jpg.exe, будет отображаться как безопасный файл изображения JPEG.

Скрытие расширений файлов с помощью «Unitrix» Exploit

Если вы всегда указываете Windows на просмотр расширений файлов (см. Ниже) и обратите внимание на них, вы можете подумать, что вы в безопасности от связанных с файлом расширений. Однако есть другие способы, которыми люди могут скрывать расширение файла.

Дублированный эксплойтом «Unitrix» от Avast после того, как он использовался вредоносным ПО Unitrix, этот метод использует специальный символ в Unicode для изменения порядка символов в имени файла, скрывая опасное расширение файла в середине имени файла и помещая безвредный внешний вид поддельного файла в конец имени файла.

Символом Unicode является U + 202E: Right-to-Left Override, и он заставляет программы отображать текст в обратном порядке. Хотя это, очевидно, полезно для некоторых целей, оно, вероятно, не должно поддерживаться в именах файлов.

По сути, фактическое имя файла может быть чем-то вроде «Awesome Song, загруженного [U + 202e] 3 pm.SCR». Специальный символ заставляет Windows отображать конец имени файла в обратном порядке, поэтому имя файла будет отображаться как «Awesome Song, загруженное RCS.mp3». Однако это не файл MP3 - это файл SCR, и он будет выполнен, если вы дважды щелкните его. (См. Ниже для получения дополнительных типов опасных расширений файлов.)
По сути, фактическое имя файла может быть чем-то вроде «Awesome Song, загруженного [U + 202e] 3 pm.SCR». Специальный символ заставляет Windows отображать конец имени файла в обратном порядке, поэтому имя файла будет отображаться как «Awesome Song, загруженное RCS.mp3». Однако это не файл MP3 - это файл SCR, и он будет выполнен, если вы дважды щелкните его. (См. Ниже для получения дополнительных типов опасных расширений файлов.)
Этот пример взят с сайта взлома, поскольку я думал, что это особенно обманчиво - следите за файлами, которые вы загружаете!
Этот пример взят с сайта взлома, поскольку я думал, что это особенно обманчиво - следите за файлами, которые вы загружаете!

Windows скрывает расширения файлов по умолчанию

Большинство пользователей прошли обучение, чтобы не запускать ненадежные.exe-файлы из Интернета, поскольку они могут быть вредоносными. Большинство пользователей также знают, что некоторые типы файлов безопасны - например, если у вас есть изображение JPEG с именем image.jpg, вы можете дважды щелкнуть его, и он откроется в вашей программе просмотра изображений без риска заражения.

Есть только одна проблема - Windows скрывает расширения файлов по умолчанию. Файл image.jpg может быть фактически image.jpg.exe, и когда вы дважды щелкните его, вы запустите вредоносный.exe-файл. Это одна из ситуаций, когда может помочь пользовательский контроль учетных записей - вредоносное ПО по-прежнему может нанести ущерб без прав администратора, но не сможет скомпрометировать всю вашу систему.

Хуже того, вредоносные люди могут установить любой значок, который они хотят для файла.exe. Файл с именем image.jpg.exe, использующий стандартный значок изображения, будет выглядеть как безобидное изображение с настройками Windows по умолчанию. Хотя Windows сообщит вам, что этот файл является приложением, если вы внимательно присмотритесь, многие пользователи этого не заметят.

Image
Image

Просмотр расширений файлов

Чтобы защитить от этого, вы можете включить расширения файлов в окне настроек папки Windows Explorer. Нажмите кнопку «Упорядочить» в проводнике Windows и выберите Параметры папки и поиска чтобы открыть его.

Image
Image

Снимите флажок Скрыть расширения для известных типов файлов установите флажок на вкладке «Просмотр» и нажмите «ОК».

Все расширения файлов теперь будут видны, поэтому вы увидите расширение скрытого расширения.exe.
Все расширения файлов теперь будут видны, поэтому вы увидите расширение скрытого расширения.exe.
Image
Image

.exe Не является единственным опасным расширением файла

Расширение файла.exe не является единственным опасным расширением файла, на которое нужно обратить внимание. Файлы, заканчивающиеся на эти расширения файлов, также могут запускать код в вашей системе, что делает их опасными:

.bat,.cmd,.com,.lnk,.pif,.scr,.vb,.vbe,.vbs,.wsh

Этот список не является исчерпывающим. Например, если у вас установлена Java-версия Oracle, расширение файла.jar также может быть опасным, так как оно запустит Java-программы.

Рекомендуемые:

Как удалить средство безопасности и другие вредоносные программы Rogue / Fake Antivirus

Как удалить средство безопасности и другие вредоносные программы Rogue / Fake Antivirus

Если у вас есть ПК, зараженный средством безопасности, вы, вероятно, читаете эту статью, чтобы понять, как избавиться от нее. К счастью, у нас есть инструкции, которые помогут вам избавиться от этого вируса.

Как удалить Internet Security 2010 и другие вредоносные программы Rogue / Fake Antivirus

Как удалить Internet Security 2010 и другие вредоносные программы Rogue / Fake Antivirus

Если у вас есть компьютер, зараженный Internet Security 2010, вы, вероятно, читаете эту статью, чтобы понять, как избавиться от нее. К счастью, у нас есть инструкции, которые помогут вам избавиться от этой ужасной вещи.

Как удалить Advanced Virus Remover и другие вредоносные программы с использованием Rogue / Fake Antivirus

Как удалить Advanced Virus Remover и другие вредоносные программы с использованием Rogue / Fake Antivirus

Если у вас есть компьютер, зараженный с помощью Advanced Virus Remover, вы, вероятно, обнаружите, что это сложно от него избавиться. К счастью, у нас есть инструкции, которые помогут вам победить этот ужасный вирус.

Проверьте, могут ли веб-сайты отслеживать вас с помощью расширений браузера и входа в систему

Проверьте, могут ли веб-сайты отслеживать вас с помощью расширений браузера и входа в систему

Инструмент Inria Browser Extension и Login-Leak Experiment помогает вам легко отслеживать, кто следит за вами, одним нажатием кнопки.

Как хакеры могут украсть ваши пароли через Wi-Fi

Как хакеры могут украсть ваши пароли через Wi-Fi

Вы знаете, как хакеры могут украсть пароли через WiFi? Ваш пароль не защищен WiFi. В этой статье объясняется метод WindTalker, используемый для кражи паролей.