Kuidas Häkkerid võivad varjata pahatahtlikke programme võltsitud faililaienditega
Faililaiendeid saab võltsida - see fail, millel on .mp3 laiendus, võib tegelikult olla käivitatav programm. Häkkerid võivad võltsida faililaiendeid, kasutades selleks spetsiaalset Unicode'i märki, sundides teksti kuvama vastupidises järjekorras.
Windows peidab vaikimisi ka faililaiendid, mis on veel üks viis algajate kasutajate eksitamiseks - fail, millel on nimi nagu picture.jpg.exe, ilmub kahjutu JPEG-pildifailina.
Faili laienduste varjamine "Unitrix" Exploitiga
Kui te ütlete Windowsile alati faililaiendite (vt allpool) näitamist ja neile tähelepanu pööramist, võite arvata, et olete faililaiendusega seotud shenanigans'ist kindel. Kuid on ka teisi viise, kuidas inimesed faililaiendit varjata.
"Unitrix" ärakasutamise avastamine Avastiga pärast seda, kui seda kasutas Unitrix pahavara, kasutab see meetod Unicode'i erimärki failinime tähemärkide järjekorra muutmiseks, peites ohtliku faililaiendi failinime keskel ja asetades kahjutu välimusega võltsitud faililaiendi faili nime lõppu.
Unicode'i märk on U + 202E: paremale-vasakule ülekirjutamine ja see sunnib programme teksti kuvama vastupidises järjekorras. Kuigi see on ilmselgelt kasulik mõnel otstarbel, ei tohiks seda tõenäoliselt failinimedes toetada.
Põhimõtteliselt võib faili tegelik nimi olla midagi sellist, nagu "Awesome Song, mille on üles laadinud [U + 202e] 3 pm.SCR". Erimärk sunnib Windowsi näitama faili nime lõppu vastupidises järjekorras, nii et faili nimi ilmub kui “Awesome Song uploaded by RCS.mp3”. Kuid see pole MP3-fail - see on SCR-fail ja see käivitatakse, kui seda topeltklõpsate. (Vaadake allpool rohkem ohtlikke faililaiendeid.)
See näide on võetud krakkimise saidilt, kuna arvasin, et see oli eriti petlik - jälgige allalaaditud faile!
Windows peidab vaikimisi faililaiendid
Enamik kasutajaid on koolitatud mitte käivitama ebausaldusväärseid .exe faile, mis on Internetist alla laaditud, kuna need võivad olla pahatahtlikud. Enamik kasutajaid teavad ka, et mõned failitüübid on ohutud - näiteks kui teil on JPEG-kujutis image.jpg, saate seda topeltklõpsata ja see avaneb teie pilte vaatavas programmis ilma nakatumise ohuta.
On ainult üks probleem - Windows peidab vaikimisi faililaiendid. Image.jpg fail võib tegelikult olla image.jpg.exe ja topeltklõpsates käivitate pahatahtliku .exe faili. See on üks olukordi, kus kasutajakonto kontrollimine võib aidata - pahavara võib endiselt kahjustada ilma administraatori õigustega, kuid ei suuda kogu teie süsteemi kahjustada.
Veelgi halvem on see, et pahatahtlikud isikud võivad seada .exe-faili jaoks soovitud ikooni. Faili nimega image.jpg.exe, mis kasutab standardset kujutise ikooni, näeb välja nagu kahjutu pilt, millel on Windowsi vaikeseaded. Kuigi Windows ütleb teile, et see fail on rakendus, kui vaatate tähelepanelikult, ei tea paljud kasutajad seda.
Faililaiendite vaatamine
Selle eest kaitsmiseks saate Windows Exploreri kausta seadete aknas lubada faililaiendid. Klõpsake Windows Exploreris nuppu Korralda ja valige Kausta- ja otsinguvõimalused avamiseks.
Tühjendage märkeruut Peida teadaolevate failitüüpide laiendid märkeruut Vaade ja klõpsake nuppu OK.
Kõik faililaiendid on nüüd nähtavad, nii et näete peidetud .exe faililaiendit.
.exe Ei ole ainus ohtlik faililaiend
.Exe-faililaiend ei ole ainus ohtlik faililaiend. Nende faililaienditega lõppevad failid võivad käivitada ka teie süsteemis koodi, muutes need ka ohtlikuks:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
See nimekiri ei ole ammendav. Näiteks, kui teil on Oracle'i Java installitud, võib ka .jar-faililaiend olla ohtlik, sest see käivitab Java-programmid.