Как злоумышленники подделывают расширения файлов

Здравствуйте.

Сегодня я хотел-бы рассказать про то, как злоумышленники подделывают расширения файлов. Посмотрев на рисунок выше, вы увидите файл Супер классная песенка.mp3. Если судить по расширению - это mp3 файл, но глянув вниз, в строке состояния, вы можете увидеть сообщение, что это файл-заставка рабочего стола (расширение *.scr).

Как-же такое может получиться, что файл с расширением *.mp3, ситема считает заставкой рабочего стола, которая должна иметь расширение .scr? Да все очень просто - на самом деле вы видите только имя файла, а расширение спрятано.

Есть несколько способов скрыть расширения файлов:

  1. В Windows, по умолчанию расширения не отображаются, а то что вы видите - это всего-лишь имя файла. Если включить отображение расширений файлов, то мы увидим, что полное имя файла с расширением - Супер классная песенка.mp3.SCR. Данный тип проблемы решается путем включения отображения для всех типов файйлов, этот вопрос рассматривался в статье Windows 7: Как показать расширения файлов.
  2. Другой способ скрыть расширение файла - это использование специальных символов Юникод, а именно U+202E: Right-to-Left Override. Этот символ заставляет прогамму отображать строку символов в обратной последовательности. Данной особенностью не преминули воспользоваться хакеры, в связи с чем появился вирус Unitrix, в прервые обнаруженный компанией Avast. На следующем рисунке отображен scr файл, при этом расширения файлов показаны:

Как показать расширения файлов

Детально вопрос отображения расширений файлов был рассмотрен в статье Windows 7: Как показать расширения файлов. Расскажу просто, что нужно отрыть окно Параметры папок, и снять флажок Скрывать расширения для зарегистрированных типов файлов.

После этого все расширения файлов будут показаны.

Маскировка расширений файлов

Если вы настроили Windows, для того чтоб он всегда отображал расширения файлов, и следите за тем, какие файлы открываете - не спешите расслабляться. В этом случае хакеры также могут замаскировать расширение файла, и вы будете видеть его имя совсем не так как оно есть на самом деле.

Данный тип уязвимости был назван компанией Avast “Unitrix”, после обнаружения его в распространяемом вредоносном ПО. Этот способ распространения вредоносного ПО использует особенность спецального символа из таблицы символов Unicode, преобразовывающего порядок символов в строке, в том числе в именах файлов проводника Windows. Это дает возможность спрятать расширение исполняемого вредоносного файла, поместив расширение в середину файла, в добавок к этому в обратной последовательности.

Символ Unicode, используемый для этой цели U+202E: Right-to-Left Override заставляет программы отображать символы строки в обратной последовательности. Хотя это и полезно в некоторых случаях, но в именах файлов эта функция опасна.

По существу, реальное имя файла может быть наподобие Супер классная песенка от [U+202e]mp3.SCR. Специальный символ [U+202e] заставляет Windows отображать оставшуюся часть имени файла в обратном последовательности, то-есть для пользователя он будет выглядеть как  Супер классная песенка от RCS.mp3. Хотя на самом деле он от этого mp3 файлом не стал, просто изменилось его отображение. Он как был скринсейвером так и остался и если его запустить, вместо открытия вашего медиа проигрывателя, файл будет запущен на выполнение, со всеми вытекающими из этого последствиями. Тоже самое относится к другим исполняемым типам файлов (смотрите внизу список расширений исполняемых файлов).

Не только файлы с расширением .exe опасны для вашей системы

Не только .exe файлы могут причинить вред вашей системе. Имена файлов, заканчивающихся следующими расширениями являются исполняемыми и могут причинить вред вашей системе: .bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

Этот список не полный, например если у вас установлен Oracle Java, расширения .jar также могут быть опасны, так как они могут выполнять Java программы.

Заключение

Надеюсь теперь, после рассмотрения данного примера, вы понимаете как злоумышленники подделывают расширения файлов и насколько имя файла может быть обманчиво. Очень внимательно следите за тем, какие файлы вы загружаете из сети и следите в строке состояния проводника, какой реально тип файла, а не то каое у него расширение.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Разрешённые HTML-теги: <a> <s> <u> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <hr> <dd> <sub> <sup>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Защита от СПАМ ботов. Подтвердите, пожалуйста, что вы человек.
2 + 3 =
Решите эту простую математическую задачу и введите результат. Например, для 1+3, введите 4.