Kā hakeri var noslēpt ļaunprātīgas programmas ar viltotiem failu paplašinājumiem
Failu paplašinājumus var viltot - šis fails ar .mp3 paplašinājumu patiesībā var būt izpildāmā programma. Hackers var viltot failu paplašinājumus, ļaunprātīgi izmantojot īpašu Unicode rakstzīmi, liekot tekstu parādīt atpakaļgaitā.
Pēc noklusējuma Windows arī paslēpj failu paplašinājumus, kas ir vēl viens veids, kā jauni lietotāji var tikt maldināti - fails ar nosaukumu like.jpg.exe parādīsies kā nekaitīgs JPEG attēla fails.
Failu paplašinājumu slēpšana ar “Unitrix” Exploit
Ja Windows vienmēr parādīs faila paplašinājumus (skat. Tālāk) un pievērsiet uzmanību tiem, jūs varat domāt, ka esat drošs no faila paplašināšanas saistītajiem shenanigans. Tomēr ir citi veidi, kā cilvēki var noslēpt faila paplašinājumu.
Atdalot “Unitrix”, ko Avast izmantoja, kad to izmantoja Unitrix ļaunprātīga programmatūra, šī metode izmanto speciālo rakstzīmi Unicode, lai mainītu rakstzīmju secību faila nosaukumā, paslēpjot bīstamo faila paplašinājumu faila nosaukuma vidū un novietojot nekaitīgu viltotu failu paplašinājumu netālu no faila nosaukuma beigām.
Unikoda rakstzīme ir U + 202E: no labās puses uz kreiso ignorēšanu, un tā liek programmām parādīt tekstu apgrieztā secībā. Lai gan tas acīmredzami ir noderīgs dažiem mērķiem, tas, iespējams, nav jāatbalsta failu nosaukumos.
Būtībā faila faktiskais nosaukums var būt kaut kas līdzīgs “Awesome Song, ko augšupielādējis [U + 202e] 3 pm.SCR”. Speciālais raksturs liek Windows uzrādīt faila nosaukuma beigu otrādi, tāpēc faila nosaukums parādīsies kā “Awesome Song, ko augšupielādējis RCS.mp3”. Tomēr tas nav MP3 fails - tas ir SCR fails, un tas tiks izpildīts, ja uz tā divreiz noklikšķināsiet. (Skatiet tālāk, lai uzzinātu vairāk par bīstamu failu paplašinājumu veidiem.)
Šis piemērs ir ņemts no krekinga vietas, jo es domāju, ka tas bija īpaši maldinošs - turiet acu par lejupielādētajiem failiem!
Windows paslēpj failu paplašinājumus pēc noklusējuma
Lielākā daļa lietotāju ir apmācīti nesākt neuzticamus .exe failus, kas lejupielādēti no interneta, jo tie var būt ļaunprātīgi. Lielākā daļa lietotāju arī zina, ka daži failu tipi ir droši - piemēram, ja jums ir JPEG attēls ar nosaukumu image.jpg, varat to dubultklikšķi un tā atvērsies attēla skatīšanas programmā, neradot risku inficēties.
Ir tikai viena problēma - sistēma Windows noklusē failu paplašinājumus. Faktiski image.jpg fails var būt image.jpg.exe, un, veicot dubultklikšķi uz tā, jūs uzsāksit ļaunprātīgu .exe failu. Šī ir viena no situācijām, kad lietotāja konta kontrole var palīdzēt - ļaunprātīgas programmatūras joprojām var sabojāt bez administratora atļaujas, taču nevarēs apdraudēt visu sistēmu.
Vēl sliktāk, ļaunprātīgas personas var iestatīt jebkuru ikonu, ko tās vēlas .exe failam. Fails ar nosaukumu image.jpg.exe, izmantojot standarta attēla ikonu, izskatīsies kā nekaitīgs attēls ar Windows noklusējuma iestatījumiem. Kamēr sistēma Windows jums pateiks, ka šis fails ir lietojumprogramma, ja paskatās cieši, daudzi lietotāji to nepamanīs.
Failu paplašinājumu apskate
Lai palīdzētu aizsargāt pret šo, varat iespējot failu paplašinājumus Windows Explorer mapju iestatījumu logā. Windows Explorer noklikšķiniet uz pogas Organizēt un atlasiet Mape un meklēšanas iespējas to atvērt.
Noņemiet atzīmi no Slēpt zināmo failu tipu paplašinājumus izvēles rūtiņu cilnē Skats un noklikšķiniet uz Labi.
Visi failu paplašinājumi tagad būs redzami, tāpēc jūs redzēsiet slēpto .exe faila paplašinājumu.
.exe nav vienīgais bīstamo failu paplašinājums
.Exe faila paplašinājums nav vienīgais bīstamais faila paplašinājums, lai to varētu meklēt. Faili, kas beidzas ar šiem faila paplašinājumiem, arī var palaist kodu jūsu sistēmā, padarot tos bīstamus arī:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Šis saraksts nav pilnīgs. Piemēram, ja jums ir instalēta Oracle Java versija, .jar faila paplašinājums var būt arī bīstams, jo tas palaidīs Java programmas.
