Jak hakerzy mogą ukrywać złośliwe programy za pomocą fałszywych rozszerzeń plików
Rozszerzenia plików można sfałszować - plik z rozszerzeniem .mp3 może faktycznie być programem wykonywalnym. Hakerzy mogą fałszować rozszerzenia plików, nadużywając specjalnego znaku Unicode, zmuszając tekst do wyświetlenia w odwrotnej kolejności.
Windows domyślnie ukrywa również rozszerzenia plików, co jest kolejnym sposobem na oszukanie początkujących użytkowników - plik o nazwie takiej jak picture.jpg.exe pojawi się jako nieszkodliwy plik obrazu JPEG.
Przebieranie rozszerzeń plików za pomocą exploita "Unitrix"
Jeśli zawsze będziesz kazał systemowi Windows wyświetlać rozszerzenia plików (patrz niżej) i zwracać na nie uwagę, możesz uważać, że nie masz nic wspólnego z rozszerzeniem pliku. Istnieją jednak inne sposoby, aby ludzie mogli ukryć rozszerzenie pliku.
Nazwany exploitem "Unitrix" firmy Avast po użyciu go przez szkodliwe oprogramowanie Unitrix, metoda ta wykorzystuje specjalny znak w Unicode, aby odwrócić kolejność znaków w nazwie pliku, ukrywając niebezpieczne rozszerzenie pliku w środku nazwy pliku i umieszczanie nieszkodliwego wyglądu fałszywego rozszerzenia pliku pod koniec nazwy pliku.
Znak Unicode to U + 202E: Zastąpienie od prawej do lewej i wymusza na programach wyświetlanie tekstu w odwrotnej kolejności. Chociaż jest to oczywiście przydatne do pewnych celów, prawdopodobnie nie powinno być obsługiwane w nazwach plików.
Zasadniczo rzeczywista nazwa pliku może wyglądać jak "Niesamowita piosenka przesłana przez [U + 202e] 3 pm.SCR". Znak specjalny wymusza na systemie Windows wyświetlenie końca nazwy pliku w odwrotnej kolejności, dlatego nazwa pliku będzie wyglądać jak "Awesome Song uploaded by RCS.mp3". Jednak nie jest to plik MP3 - jest to plik SCR i zostanie wykonany po dwukrotnym kliknięciu. (Zobacz poniżej więcej rodzajów niebezpiecznych rozszerzeń plików.)
Ten przykład pochodzi z witryny crackingowej, ponieważ uważam, że była szczególnie zwodnicza - pilnuj pobranych plików!
Domyślnie Windows ukrywa rozszerzenia plików
Większość użytkowników została przeszkolona, aby nie uruchamiać niezaufanych plików .exe pobieranych z Internetu, ponieważ mogą być złośliwe. Większość użytkowników wie również, że niektóre typy plików są bezpieczne - na przykład, jeśli masz obraz JPEG o nazwie image.jpg, możesz go kliknąć dwukrotnie i otworzy się on w programie do przeglądania obrazów bez ryzyka infekcji.
Jest tylko jeden problem - domyślnie Windows ukrywa rozszerzenia plików. Plik image.jpg może w rzeczywistości być plikiem image.jpg.exe, a po dwukrotnym kliknięciu uruchomisz złośliwy plik .exe. Jest to jedna z sytuacji, w których kontrola konta użytkownika może pomóc - szkodliwe oprogramowanie nadal może powodować szkody bez uprawnień administratora, ale nie będzie mogło narazić na szwank całego systemu.
Co gorsza, złośliwe osoby mogą ustawić dowolną ikonę dla pliku .exe. Plik o nazwie image.jpg.exe korzystający ze standardowej ikony obrazu będzie wyglądał jak nieszkodliwy obraz z domyślnymi ustawieniami systemu Windows. Gdy system Windows powie ci, że ten plik jest aplikacją, jeśli przyjrzysz się uważnie, wielu użytkowników tego nie zauważy.
Przeglądanie rozszerzeń plików
Aby temu zapobiec, możesz włączyć rozszerzenia plików w oknie Ustawienia folderu Eksploratora Windows. Kliknij przycisk Organizuj w Eksploratorze Windows i wybierz Opcje folderów i wyszukiwania aby go otworzyć.
Odznacz opcję Ukryj rozszerzenia dla znanych typów plików pole wyboru na karcie Widok i kliknij OK.
Wszystkie rozszerzenia plików będą teraz widoczne, więc zobaczysz ukryte rozszerzenie pliku .exe.
.exe nie jest jedynym niebezpiecznym rozszerzeniem pliku
Rozszerzenie pliku .exe nie jest jedynym niebezpiecznym rozszerzeniem pliku, na które należy zwrócić uwagę. Pliki kończące się tymi rozszerzeniami plików mogą również uruchamiać kod w systemie, co czyni je również niebezpiecznymi:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Ta lista nie jest wyczerpująca. Na przykład, jeśli masz zainstalowaną Javę Oracle, rozszerzenie pliku .jar może być niebezpieczne, ponieważ spowoduje uruchomienie programów Java.