Làm thế nào tin tặc có thể che giấu chương trình độc hại với phần mở rộng tập tin giả mạo

Mục lục:

Làm thế nào tin tặc có thể che giấu chương trình độc hại với phần mở rộng tập tin giả mạo
Làm thế nào tin tặc có thể che giấu chương trình độc hại với phần mở rộng tập tin giả mạo

Video: Làm thế nào tin tặc có thể che giấu chương trình độc hại với phần mở rộng tập tin giả mạo

Video: Làm thế nào tin tặc có thể che giấu chương trình độc hại với phần mở rộng tập tin giả mạo
Video: #18 "How to delete files/Folder can not be delete". Xóa File/Folder Cứng Đầu Không Thể Xóa Được - YouTube 2024, Tháng Ba
Anonim
Phần mở rộng tập tin có thể được giả mạo - tệp có phần mở rộng.mp3 thực sự có thể là một chương trình thực thi. Tin tặc có thể mở rộng tập tin giả bằng cách lợi dụng một ký tự Unicode đặc biệt, buộc văn bản phải được hiển thị theo thứ tự ngược lại.
Phần mở rộng tập tin có thể được giả mạo - tệp có phần mở rộng.mp3 thực sự có thể là một chương trình thực thi. Tin tặc có thể mở rộng tập tin giả bằng cách lợi dụng một ký tự Unicode đặc biệt, buộc văn bản phải được hiển thị theo thứ tự ngược lại.

Windows cũng ẩn phần mở rộng tệp theo mặc định, đó là một cách khác người dùng mới có thể bị lừa dối - một tệp có tên như picture.jpg.exe sẽ xuất hiện dưới dạng tệp ảnh JPEG vô hại.

Ngụy trang phần mở rộng tập tin với khai thác "Unitrix"

Nếu bạn luôn yêu cầu Windows hiển thị tiện ích mở rộng tệp (xem bên dưới) và chú ý đến chúng, bạn có thể nghĩ rằng bạn an toàn với những người có liên quan đến tiện ích mở rộng tệp. Tuy nhiên, có những cách khác mà mọi người có thể che giấu phần mở rộng của tệp.

Được gọi là "Unitrix" khai thác bởi Avast sau khi nó được sử dụng bởi phần mềm độc hại Unitrix, phương pháp này tận dụng một ký tự đặc biệt trong Unicode để đảo ngược thứ tự các ký tự trong tên tệp, ẩn phần mở rộng tệp nguy hiểm ở giữa tên tệp và đặt một phần mở rộng tệp giả mạo vô hại gần cuối tên tệp.

Ký tự Unicode là U + 202E: Ghi đè từ phải sang trái, và nó buộc các chương trình hiển thị văn bản theo thứ tự ngược lại. Mặc dù điều này rõ ràng hữu ích cho một số mục đích nhưng có thể không được hỗ trợ trong tên tệp.

Về cơ bản, tên thật của tệp có thể giống như "Bài hát tuyệt vời được tải lên bởi [U + 202e] 3 giờ chiều.SCR". Nhân vật đặc biệt buộc Windows hiển thị phần cuối của tên tệp ngược lại, do đó tên của tệp sẽ xuất hiện dưới dạng "Bài hát tuyệt vời được tải lên bởi RCS.mp3". Tuy nhiên, đây không phải là tệp MP3 - đó là tệp SCR và tệp này sẽ được thực thi nếu bạn nhấp đúp vào tệp đó. (Xem bên dưới để biết thêm các loại tiện ích mở rộng tệp nguy hiểm.)
Về cơ bản, tên thật của tệp có thể giống như "Bài hát tuyệt vời được tải lên bởi [U + 202e] 3 giờ chiều.SCR". Nhân vật đặc biệt buộc Windows hiển thị phần cuối của tên tệp ngược lại, do đó tên của tệp sẽ xuất hiện dưới dạng "Bài hát tuyệt vời được tải lên bởi RCS.mp3". Tuy nhiên, đây không phải là tệp MP3 - đó là tệp SCR và tệp này sẽ được thực thi nếu bạn nhấp đúp vào tệp đó. (Xem bên dưới để biết thêm các loại tiện ích mở rộng tệp nguy hiểm.)
Ví dụ này được lấy từ một trang web bẻ khóa, như tôi nghĩ rằng nó đặc biệt là lừa đảo - theo dõi các tệp bạn tải xuống!
Ví dụ này được lấy từ một trang web bẻ khóa, như tôi nghĩ rằng nó đặc biệt là lừa đảo - theo dõi các tệp bạn tải xuống!

Windows ẩn tệp mở rộng theo mặc định

Hầu hết người dùng đã được đào tạo để không khởi chạy các tệp.exe không đáng tin cậy tải xuống từ Internet vì chúng có thể độc hại. Hầu hết người dùng cũng biết rằng một số loại tệp được an toàn - ví dụ: nếu bạn có hình ảnh JPEG có tên image.jpg, bạn có thể nhấp đúp vào nó và nó sẽ mở trong chương trình xem hình ảnh của bạn mà không có nguy cơ bị nhiễm.

Chỉ có một sự cố - Windows ẩn các phần mở rộng tệp theo mặc định. Tệp image.jpg có thể thực sự là image.jpg.exe và khi bạn nhấp đúp vào tệp, bạn sẽ khởi chạy tệp.exe độc hại. Đây là một trong những tình huống mà Kiểm soát tài khoản người dùng có thể giúp - phần mềm độc hại vẫn có thể gây sát thương mà không có quyền của quản trị viên, nhưng sẽ không thể xâm phạm toàn bộ hệ thống của bạn.

Tệ hơn nữa, các cá nhân độc hại có thể đặt bất kỳ biểu tượng nào họ muốn cho tệp.exe. Một tệp có tên image.jpg.exe sử dụng biểu tượng hình ảnh chuẩn sẽ trông giống như một hình ảnh vô hại với cài đặt mặc định của Windows. Mặc dù Windows sẽ cho bạn biết rằng tệp này là một ứng dụng nếu bạn nhìn kỹ, nhiều người dùng sẽ không nhận thấy điều này.

Image
Image

Xem tiện ích tệp

Để giúp bảo vệ chống lại điều này, bạn có thể bật tiện ích mở rộng tệp trong cửa sổ Cài đặt thư mục của Windows Explorer. Nhấp vào nút Sắp xếp trong Windows Explorer và chọn Tùy chọn thư mục và tìm kiếm mở nó ra.

Image
Image

Bỏ chọn Ẩn phần tên mở rộng đối với những loại file mà hệ thống đã biết đánh dấu vào tab View và nhấn OK.

Giờ đây, tất cả tiện ích mở rộng tệp sẽ hiển thị, vì vậy bạn sẽ thấy phần mở rộng tệp.exe bị ẩn.
Giờ đây, tất cả tiện ích mở rộng tệp sẽ hiển thị, vì vậy bạn sẽ thấy phần mở rộng tệp.exe bị ẩn.
Image
Image

.exe không phải là tiện ích mở rộng tệp nguy hiểm duy nhất

Phần mở rộng tệp.exe không phải là phần mở rộng tệp nguy hiểm duy nhất để tìm kiếm. Các tệp kết thúc bằng các phần mở rộng tệp này cũng có thể chạy mã trên hệ thống của bạn, khiến chúng trở nên nguy hiểm:

.bat,.cmd,.com,.lnk,.pif,.scr,.vb,.vbe,.vbs,.wsh

Danh sách này không đầy đủ. Ví dụ, nếu bạn đã cài đặt Java của Oracle, phần mở rộng tệp.jar cũng có thể nguy hiểm, vì nó sẽ khởi chạy các chương trình Java.

Đề xuất: