Ako môžu hackeri zamaskovať škodlivé programy s falošnými rozšíreniami súborov

Prípony súborov môžu byť falošné - súbor s príponou .mp3 môže byť skutočne spustiteľný program. Hackeri môžu falošovať rozšírenia súborov tým, že zneužívajú špeciálny znak Unicode a nútia text, aby sa zobrazoval v opačnom poradí.

Systém Windows tiež štandardne skryje rozšírenia súborov, čo je iný spôsob, ako sa môžu oklamať nováčikovia - súbor s názvom ako image.jpg.exe sa zobrazí ako neškodný obrazový súbor JPEG.

Zakrývanie rozšírení súborov pomocou funkcie "Unitrix"

Ak vždy poviete systému Windows, že zobrazuje prípony súborov (pozrite nižšie) a venujte im pozor, môžete si byť istí, že ste v bezpečí pred shenanigans súvisiacimi s rozšírením súboru. Existujú však aj iné spôsoby, ako môžu ľudia zamaskovať príponu súboru.

Premenovaný na "Unitrix" využívaný Avastom po jeho použití malware Unitrix, táto metóda využíva špeciálny znak v Unicode na zvrátenie poradia znakov v názve súboru, skrýva nebezpečnú príponu súboru uprostred názvu súboru a umiestnenie neoprávnene vyzerajúceho rozšírenia falošného súboru v blízkosti konca názvu súboru.

Znak Unicode je U + 202E: Prepustenie vpravo doľava a núti programy na zobrazenie textu v opačnom poradí. Aj keď je to samozrejme užitočné pre niektoré účely, pravdepodobne by nemalo byť podporované v názvoch súborov.

V skutočnosti skutočné meno súboru môže byť niečo ako "Awesome Song nahraný [U + 202e] 3 pm.SCR". Špeciálny znak núti Windows zobraziť koniec názvu súboru naopak, takže názov súboru sa zobrazí ako "Awesome Song Uploaded by RCS.mp3". Nie je to však súbor MP3 - je to súbor SCR a bude vykonaný, ak ho dvakrát kliknete. (Ďalšie typy nebezpečných prípon súborov nájdete nižšie.)

Tento príklad je prevzatý z miesta na popraskanie, pretože som si myslel, že je to mimoriadne klamlivé - dávajte pozor na súbory, ktoré si stiahnete!

Windows skryje predvolené rozšírenia súborov

Väčšina používateľov bola vyškolená, aby nezahájili nedôveryhodné súbory .exe, ktoré sa sťahujú z Internetu, pretože môžu byť škodlivé. Väčšina používateľov tiež vie, že niektoré typy súborov sú bezpečné - napríklad ak máte obrázok JPEG s názvom image.jpg, môžete ho dvakrát kliknúť a otvorí sa v programe na prezeranie obrázkov bez rizika infikovania.

Je tu len jeden problém - Windows predvolene skryje rozšírenia súborov. Súbor image.jpg môže vlastne byť image.jpg.exe a po jeho dvojitom kliknutí spustíte škodlivý súbor .exe. Jedná sa o jednu z situácií, v ktorých môže pomôcť Kontrola používateľských kont - škodlivý softvér môže naďalej poškodzovať bez oprávnení správcu, ale nebude schopný ohroziť celý váš systém.

Ešte horšie je, že zlomyseľní ľudia môžu nastaviť ľubovoľnú ikonu, ktorú chcú pre súbor .exe. Súbor s názvom image.jpg.exe pomocou ikony so štandardným obrázkom bude vyzerať ako neškodný obraz s predvolenými nastaveniami systému Windows. Zatiaľ čo systém Windows vám povie, že tento súbor je aplikácia, ak sa pozriete pozorne, mnohí používatelia si to nevšimnú.

Zobrazenie rozšírení súborov

Ak chcete chrániť proti tomuto, môžete povoliť rozšírenia súborov v okne Nastavenia priečinka programu Windows Explorer. Kliknite na tlačidlo Organizovať v Prieskumníkovi Windows a vyberte Priečinok a možnosti vyhľadávania otvoriť ho.

Zrušte začiarknutie Skryť rozšírenia pre známe typy súborov začiarknite políčko na karte Zobrazenie a kliknite na tlačidlo OK.

Všetky rozšírenia súborov budú teraz viditeľné, takže sa zobrazí skrytá prípona súboru .exe.

.exe nie je len rozšírenie nebezpečného súboru

Prípona súboru .exe nie je jediným príponou nebezpečného súboru, na ktorú sa chcete pozrieť. Súbory končiace s týmito príponami súborov môžu spustiť aj kód vo vašom systéme, čo je tiež nebezpečné:

.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

Tento zoznam nie je vyčerpávajúci. Napríklad, ak máte nainštalovanú Oracle Java, prípona súboru .jar môže byť tiež nebezpečná, pretože spustí Java programy.