Як хакери можуть замаскувати шкідливі програми за допомогою файлових розширень

Файлові розширення можуть бути підробленими - файл з розширенням .mp3 може бути виконаною програмою. Хакери можуть підробляти розширення файлу, використовуючи спеціальний символ Unicode, примушуючи текст відображатися в зворотному порядку.

Windows також приховує розширення файлів за замовчуванням, що є іншим способом обманювати початківців - файл з ім'ям, як picture.jpg.exe з'явиться як нешкідливий файл зображення JPEG.

Маскування розширень файлів за допомогою оператора "Unitrix"

Якщо ви завжди повідомляєте Windows про розширення файлів (див. Нижче) і зверніть увагу на них, ви можете подумати, що ви захищені від помилок, пов'язаних з розширенням файлів. Однак існують інші способи, за допомогою яких люди можуть замаскувати розширення файлу.

Називається "Unitrix", який використовується Avast після того, як він був використаний шкідливим програмним забезпеченням Unitrix. і розміщення нешкідливого вигляду фальшивого розширення файлу біля кінця імені файлу.

Символ Unicode U + 202E: Перевизначення праворуч-ліворуч і примушує програми відображати текст у зворотному порядку. Хоча це, очевидно, корисно для деяких цілей, воно не повинно підтримуватися в іменах файлів.

По суті, фактичне ім'я файлу може бути щось на кшталт “Awesome Song, завантажене [U + 202e] 3 pm.SCR”. Спеціальний символ змушує Windows відображати кінець імені файлу в зворотному напрямку, так що ім'я файлу відображатиметься як “Awesome Song uploaded by RCS.mp3”. Однак, це не MP3-файл - це файл SCR і він буде виконаний, якщо ви двічі клацнете по ньому. (Нижче наведено додаткові типи розширень небезпечних файлів).

Цей приклад взяті з сайту для розтріскування, оскільки я вважав, що це особливо обманливо - стежте за завантаженими файлами!

Windows замикає розширення файлів за умовчанням

Більшість користувачів були навчені не запускати недостовірні файли .exe, завантажені з Інтернету, оскільки вони можуть бути шкідливими. Більшість користувачів також знають, що деякі типи файлів є безпечними - наприклад, якщо у вас є зображення JPEG з ім'ям image.jpg, ви можете двічі клацнути його, і він відкриється у вашій програмі перегляду зображень без ризику зараження.

Є тільки одна проблема - Windows ховає файлові розширення за замовчуванням. Файл image.jpg може насправді бути image.jpg.exe, а коли ви двічі клацнете на ньому, ви запустите зловмисний файл .exe. Це одна з ситуацій, коли контролю над обліковими записами користувачів може допомогти - шкідлива програма все ще може завдати шкоди без дозволів адміністратора, але не зможе скомпрометувати всю систему.

Ще гірше, шкідливі особи можуть встановлювати будь-яку піктограму, яку вони хочуть, для файлу .exe. Файл з назвою image.jpg.exe, який використовує стандартну піктограму зображення, буде виглядати як нешкідливе зображення з типовими налаштуваннями Windows. Хоча Windows скаже, що цей файл є програмою, якщо ви уважно подивитеся, багато користувачів не помітять цього.

Перегляд розширень файлів

Щоб уникнути цього, можна ввімкнути розширення файлів у вікні параметрів папки Windows Explorer. Натисніть кнопку Організувати в Провіднику Windows і виберіть Параметри папки та пошуку щоб відкрити його.

Зніміть прапорець Приховати розширення для відомих типів файлів встановіть прапорець на вкладці Вигляд і натисніть кнопку OK.

Тепер всі розширення файлів будуть видимі, тому ви побачите приховане розширення файлу .exe.

.exe Не єдиний Небезпечний Розширення Файлу

Розширення .exe не є єдиним небезпечним розширенням файлу. Файли, що закінчуються цими розширеннями файлів, також можуть запускати код у вашій системі, що також робить їх небезпечними:

.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

Цей список не є вичерпним. Наприклад, якщо у вас встановлена ​​Java-версія Oracle, розширення .jar також може бути небезпечним, оскільки воно запускає програми Java.