Како хакери могу да прикрију злонамерне програме помоћу лажних екстензија

Датотечне екстензије могу бити лажиране - та датотека са .мп3 екстензијом може заправо бити извршни програм. Хакери могу лажирати екстензије фајлова тако што злоупотребљавају посебан Уницоде знак, присиљавајући текст да се приказује у обрнутом редоследу.

Виндовс такође подразумевано скрива екстензије фајлова, што је још један начин да се почетнички корисници могу преварити - датотека са именом као што је пицтуре.јпг.еке ће се појавити као безопасна ЈПЕГ слика.

Скривање екстензија фајлова помоћу "Унитрик" Екплоит-а

Ако увек кажете Виндовс-у да прикаже екстензије фајлова (погледајте доле) и обратите пажњу на њих, можда мислите да сте сигурни од маневрирања које се односе на проширење датотека. Међутим, постоје и други начини на које се људи могу прикрити екстензија датотеке.

Названа "Унитрик" експлоатацијом од стране Аваст-а након што ју је користио Унитрик малваре, овај метод користи посебан знак у Уницоде-у да би преокренуо редослед знакова у називу датотеке, скривајући екстензивни фајл у средини имена датотеке и смештање безопасног лажног екстензије фајла близу краја имена датотеке.

Уницоде знак је У + 202Е: Надјачавање с десне стране на лијево и присиљава програме на приказивање текста обрнутим редослиједом. Иако је очигледно корисна за неке сврхе, вероватно не би требало да буде подржана у именима датотека.

У суштини, име фајла може бити нешто попут "Авесоме Сонг уплоадед би [У + 202е] 3 пм.СЦР". Специјални знак присиљава Виндовс да прикаже крај имена датотеке у обрнутом правцу, тако да ће се име датотеке појавити као “Авесоме Сонг уплоадед би РЦС.мп3”. Међутим, то није МП3 датотека - то је СЦР датотека и биће извршена ако је двапут кликнете. (Погледајте ниже за више врста опасних екстензија датотека.)

Овај пример је преузет са странице за крекирање, као што сам мислио да је посебно обмањујуће - пазите на датотеке које преузимате!

Виндовс скрива екстензије датотека по подразумеваној вредности

Већина корисника је обучена да не покреће непоуздано преузимање .еке датотека са Интернета јер оне могу бити злонамерне. Већина корисника такођер зна да су неке врсте датотека сигурне - на примјер, ако имате ЈПЕГ слику под именом имаге.јпг, можете је двапут кликнути и она ће се отворити у вашем програму за преглед слика без ризика од заразе.

Постоји само један проблем - Виндовс по дефаулту скрива екстензије фајлова. Датотека имаге.јпг заправо може бити имаге.јпг.еке, а када је двапут кликнете покренут ћете малициозну .еке датотеку. Ово је једна од ситуација у којима контрола корисничког налога може помоћи - злонамерни софтвер може и даље да наноси штету без администраторских дозвола, али неће моћи да угрози цео ваш систем.

Што је још горе, злонамерни појединци могу поставити било коју икону коју желе за .еке датотеку. Датотека под именом имаге.јпг.еке која користи стандардну икону слике изгледаће као безопасна слика са подразумеваним Виндовс поставкама. Иако ће вам Виндовс рећи да је ова датотека апликација ако боље погледате, многи корисници то неће приметити.

Преглед екстензија датотека

Да бисте се заштитили од тога, можете да омогућите екстензије датотека у прозору поставки фасцикле Виндовс Екплорера. Кликните на дугме Организуј у програму Виндовс Екплорер и изаберите Опције фолдера и претраживања да га отворите.

Поништите избор Сакриј проширења за познате типове датотека потврдни оквир на картици Поглед и кликните на дугме У реду.

Све екстензије датотека сада ће бити видљиве, тако да ћете видјети скривени наставак .еке.

.еке није само опасна екстензија

Екстензија датотеке .еке није једина опасна екстензија фајла за коју треба пазити. Датотеке које завршавају овим екстензијама датотека такође могу покренути код на вашем систему, што их чини и опасним:

.бат, .цмд, .цом, .лнк, .пиф, .сцр, .вб, .вбе, .вбс, .всх

Ова листа није исцрпна. На пример, ако имате инсталиран Орацле Јава, екстензија датотеке .јар такође може бити опасна, јер ће покренути Јава програме.