Miten hakkerit voivat peittää haittaohjelmia väärennettyjen tiedostotunnisteiden avulla
Tiedostotunnisteita voidaan väärentää - kyseinen .mp3-tiedostotiedosto voi itse asiassa olla suoritettava ohjelma. Hakkerit voivat väärentää tiedostojen laajennuksia väärin erityistä Unicode-merkkiä ja pakottaa tekstin näyttämään käänteisessä järjestyksessä.
Windows piilottaa myös tiedostotunnisteet oletusarvoisesti, mikä on toinen tapa, jolla aloittelevat käyttäjät voidaan harhauttaa - tiedosto, jonka nimi on kuva.jpg.exe, näkyy harmittomana JPEG-kuvatiedostona.
Tiedostotunnisteiden peittäminen "Unitrix" -käytöllä
Jos kerrot aina, että Windows näyttää tiedostotunnisteita (katso alla) ja kiinnittää niihin huomiota, saatat ajatella, että olet turvassa tiedostojen laajennukseen liittyvistä shenanigansista. On kuitenkin muitakin tapoja, joilla ihmiset voivat peittää tiedostopääte.
Avastin "Unitrix" -käytön kopioiminen sen jälkeen, kun Unitrix-haittaohjelma on käyttänyt tätä menetelmää, hyödynnetään Unicoden erikoismerkkiä, jos haluat kääntää tiedostonimien merkkien järjestyksen, piilottaen vaarallisen tiedostotunnisteen tiedostonimen keskellä ja asetetaan vaaraton näköinen fake-tiedostotunniste tiedostonimen loppuun.
Unicode-merkki on U + 202E: Oikea-vasen ohitus, ja se pakottaa ohjelmat näyttämään tekstin käänteisessä järjestyksessä. Vaikka se on tietysti hyödyllinen joihinkin tarkoituksiin, sitä ei todennäköisesti pitäisi tukea tiedostojen nimissä.
Pohjimmiltaan tiedoston todellinen nimi voi olla jotain "Awesome Song ladattu [U + 202e] 3 pm.SCR". Erikoismerkki pakottaa Windowsin näyttämään tiedoston nimen päinvastaisessa järjestyksessä, joten tiedoston nimi näkyy nimellä “Awesome Song, jonka RCS.mp3 on ladannut”. Se ei kuitenkaan ole MP3-tiedosto - se on SCR-tiedosto ja se suoritetaan, kun kaksoisnapsautat sitä. (Katso lisätietoja vaarallisista tiedostotunnisteista.)
Tämä esimerkki on otettu krakkauspaikasta, koska ajattelin, että se oli erityisen petollinen - pidä silmällä ladatut tiedostot!
Windows piilottaa tiedostotunnisteet oletusarvoisesti
Useimmat käyttäjät on koulutettu olemaan käynnistämättä epäluotettavia .exe-tiedostoja, jotka ladataan Internetistä, koska ne voivat olla haitallisia. Useimmat käyttäjät tietävät myös, että tietyt tiedostotyypit ovat turvallisia - esimerkiksi jos sinulla on JPEG-kuva nimeltä image.jpg, voit kaksoisnapsauttaa sitä ja se avautuu kuvankatseluohjelmassasi ilman, että saat tartunnan vaaraa.
On vain yksi ongelma - Windows piilottaa tiedostopäätteet oletusarvoisesti. Image.jpg-tiedosto voi olla oikeastaan image.jpg.exe, ja kun kaksoisnapsautat sitä, käynnistät haitallisen .exe-tiedoston. Tämä on yksi tilanteista, joissa Käyttäjätilien valvonta voi auttaa - haittaohjelmat voivat silti vahingoittaa järjestelmänvalvojan oikeuksia, mutta ne eivät voi vaarantaa koko järjestelmääsi.
Vielä pahempaa, haittaohjelmat voivat asettaa minkä tahansa kuvakkeen, jota he haluavat .exe-tiedostolle. Kuva.jpg.exe-tiedosto, joka käyttää tavallista kuvakuvaketta, näyttää vaarattomalta kuvalta, jossa on Windowsin oletusasetukset. Vaikka Windows kertoo, että tämä tiedosto on sovellus, jos tarkastelet tarkasti, monet käyttäjät eivät huomaa tätä.
Tiedostotunnisteiden tarkasteleminen
Voit suojata tätä vastaan sallimalla tiedostotunnisteet Windows Explorerin kansion asetukset -ikkunassa. Napsauta Järjestä-painiketta Windowsin Resurssienhallinnassa ja valitse Kansio- ja hakuvaihtoehdot avata se.
Poista valinta Piilota tunnettujen tiedostotyyppien laajennukset valintaruutu Näytä-välilehdessä ja valitse OK.
Kaikki tiedostotunnisteet ovat nyt näkyvissä, joten näet piilotetun .exe-tiedostotunnisteen.
.exe ei ole ainoa vaarallinen tiedostotunniste
.Exe-tiedostotunniste ei ole ainoa vaarallinen tiedostotunniste, jota etsitään. Tiedostot, jotka päättyvät näihin tiedostotunnisteisiin, voivat myös käyttää koodia järjestelmässäsi, mikä tekee niistä vaarallisia:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Tämä luettelo ei ole tyhjentävä. Jos sinulla on esimerkiksi Oraclein Java-asennus, .jar-tiedostotunniste voi myös olla vaarallista, koska se käynnistää Java-ohjelmat.