Как хакеры могут замаскировать вредоносные программы с помощью поддельных расширений файлов

Расширения файлов могут быть подделаны - этот файл с расширением .mp3 может фактически быть исполняемой программой. Хакеры могут подделывать расширения файлов, используя специальный символ Unicode, заставляя текст отображаться в обратном порядке.

Windows также скрывает расширения файлов по умолчанию, что является еще одним способом обмануть начинающих пользователей - файл с именем наподобие picture.jpg.exe будет выглядеть как безвредный файл изображения JPEG.

Маскировка расширений файлов с помощью эксплойта «Unitrix»

Если вы всегда говорите Windows показывать расширения файлов (см. Ниже) и обращать на них внимание, вы можете подумать, что вы в безопасности от махинаций, связанных с расширением файлов. Однако есть и другие способы, которыми люди могут замаскировать расширение файла..

Дублированный Avast после использования «Unitrix» после его использования вредоносным ПО Unitrix, этот метод использует специальный символ в Unicode для изменения порядка символов в имени файла, скрывая опасное расширение файла в середине имени файла. и размещение безвредного поддельного расширения файла рядом с концом имени файла.

Символ Unicode - это U + 202E: Переопределение справа налево, и он заставляет программы отображать текст в обратном порядке. Хотя это, безусловно, полезно для некоторых целей, его, вероятно, не следует поддерживать в именах файлов..

По сути, фактическое имя файла может быть чем-то вроде «Awesome Song, загруженная [U + 202e] 3 pm.SCR». Специальный символ заставляет Windows отображать конец имени файла в обратном порядке, поэтому имя файла будет выглядеть как «Awesome Song uploaded by RCS.mp3». Тем не менее, это не файл MP3 - это файл SCR, и он будет выполнен, если вы дважды щелкните по нему. (См. Ниже для других типов опасных расширений файлов.)

Этот пример взят с сайта для взлома, так как я думал, что он был особенно обманчив - следите за файлами, которые вы загружаете!

Windows скрывает расширения файлов по умолчанию

Большинство пользователей обучены не запускать загрузку недоверенных файлов .exe из Интернета, поскольку они могут быть вредоносными. Большинство пользователей также знают, что некоторые типы файлов безопасны - например, если у вас есть изображение JPEG с именем image.jpg, вы можете дважды щелкнуть по нему, и оно откроется в вашей программе просмотра изображений без риска заражения.

Есть только одна проблема - Windows по умолчанию скрывает расширения файлов. Файл image.jpg на самом деле может быть image.jpg.exe, и когда вы дважды щелкните по нему, вы запустите вредоносный файл .exe. Это одна из ситуаций, в которых может помочь контроль учетных записей - вредоносное ПО может по-прежнему наносить ущерб без разрешений администратора, но не сможет поставить под угрозу всю вашу систему..

Хуже того, злоумышленники могут установить любую иконку для файла .exe. Файл с именем image.jpg.exe с использованием стандартного значка изображения будет выглядеть как безвредное изображение с настройками Windows по умолчанию. Хотя Windows скажет вам, что этот файл является приложением, если вы посмотрите внимательно, многие пользователи не заметят этого.

Просмотр расширений файлов

Чтобы защитить себя от этого, вы можете включить расширения файлов в окне настроек папки Windows Explorer. Нажмите кнопку «Организовать» в проводнике Windows и выберите Папка и параметры поиска открыть это.

Снимите флажок Скрыть расширения для известных типов файлов установите флажок на вкладке «Вид» и нажмите «ОК».

Все расширения файлов теперь будут видны, поэтому вы увидите скрытое расширение файла .exe.

.exe не единственное опасное расширение файла

Расширение файла .exe не единственное опасное расширение файла, чтобы высматривать. Файлы, заканчивающиеся этими расширениями, также могут запускать код в вашей системе, что также делает их опасными:

.летучая мышь, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

Этот список не является исчерпывающим. Например, если у вас установлена ​​Oracle Java, расширение файла .jar также может быть опасным, так как оно будет запускать программы Java.