Hvordan hackere kan skjule skadelige programmer med falske filutvidelser

Filutvidelser kan være faked - den filen med en .mp3-utvidelse kan faktisk være et kjørbart program. Hackere kan falske filutvidelser ved å misbruke et spesielt Unicode-tegn, og tvinge tekst til å vises i omvendt rekkefølge.

Windows skjuler også filutvidelser som standard, hvilket er en annen måte nybegynnere kan bli lurt - en fil med et navn som image.jpg.exe vil vises som en ufarlig JPEG-bildefil.

Skjul filforlengelser med "Unitrix" Utnyttelse

Hvis du alltid forteller Windows å vise filtillegg (se nedenfor) og ta hensyn til dem, kan du tenke at du er trygg fra fil-utvidelsesrelaterte shenanigans. Det er imidlertid andre måter folk kan skjule filtypen på.

Koblet "Unitrix" ut av Avast etter at den ble brukt av Unitrix malware, utnytter denne metoden et spesialtegn i Unicode for å reversere rekkefølgen av tegn i et filnavn, skjule den farlige filtypen i midten av filnavnet og plasserer en ufarlig utseende falsk filtillegg nær slutten av filnavnet.

Unicode-tegnet er U + 202E: Høyre-til-venstre-overstyring, og det tvinger programmer til å vise tekst i omvendt rekkefølge. Selv om det åpenbart er nyttig for noen formål, bør det sannsynligvis ikke støttes i filnavn.

I hovedsak kan filens faktiske navn være som "Awesome Song lastet opp av [U + 202e] 3 pm.SCR". Spesialtegnet tvinger Windows til å vise slutten på filens navn i omvendt, så filens navn vil vises som "Awesome Song lastet opp av RCS.mp3". Det er imidlertid ikke en MP3-fil - det er en SCR-fil, og den vil bli kjørt hvis du dobbeltklikker på den. (Se nedenfor for flere typer farlige filutvidelser.)

Dette eksemplet er hentet fra et sprekkingssted, da jeg trodde det var spesielt villedende - holde øye med filene du laster ned!

Windows skjuler filutvidelser som standard

De fleste brukere har blitt utdannet for ikke å lansere usikre .exe-filer ned fra Internett, da de kan være skadelige. De fleste brukere vet også at enkelte typer filer er trygge - for eksempel hvis du har et JPEG-bilde som heter image.jpg, kan du dobbeltklikke på det, og det åpnes i bildevisningen uten risiko for å bli smittet.

Det er bare ett problem - Windows skjuler filutvidelser som standard. Image.jpg-filen kan faktisk være image.jpg.exe, og når du dobbeltklikker på den, starter du den skadelige .exe-filen. Dette er en av situasjonene der brukerkontokontroll kan hjelpe - malware kan fortsatt skade uten administratorrettigheter, men vil ikke kunne kompromittere hele systemet.

Verre ennå, kan ondsinnede personer angi hvilket ikon de vil ha for .exe-filen. En fil med navnet image.jpg.exe ved hjelp av standardbildikonet vil se ut som et ufarlig bilde med Windows standardinnstillinger. Mens Windows vil fortelle deg at denne filen er et program hvis du ser nøye ut, vil mange brukere ikke merke dette.

Vise filutvidelser

For å beskytte mot dette kan du aktivere filutvidelser i Windows Utforskerens mappestilling-vindu. Klikk på Organiser-knappen i Windows Utforsker og velg Mappe og søkealternativer å åpne den.

Fjern merket for Skjul utvidelser for kjente filtyper avkrysningsboks i kategorien Vis og klikk OK.

Alle filtyper blir nå synlige, så du får se den skjulte .exe filtypen.

.exe er ikke den eneste farlige filutvidelsen

.Exe filtypen er ikke den eneste farlige filtypen som skal passe på. Filer som slutter med disse filtypene, kan også kjøre kode på systemet ditt, og gjør dem farlige også:

.flaggermus, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

Denne listen er ikke uttømmende. For eksempel, hvis du har installert Oracle's Java, kan filtypen .jar også være farlig, da det vil starte Java-programmer.