Hur Hackers kan dölja skadliga program med falska filtillägg
Filförlängningar kan vara faktade - den filen med en .mp3-förlängning kan faktiskt vara ett körbart program. Hackers kan förfalska filtillägg genom att missbruka ett speciellt Unicode-tecken, vilket tvingar text att visas i omvänd ordning.
Windows döljer också filtillägg som standard, vilket är ett annat sätt att nybörjare kan luras - en fil med ett namn som picture.jpg.exe kommer att visas som en ofarlig JPEG-bildfil.
Förklara filtillägg med "Unitrix" Exploit
Om du alltid berättar för Windows att visa filtillägg (se nedan) och uppmärksamma dem, kanske du tror att du är säker från filförlängningsrelaterade shenanigans. Det finns dock andra sätt som människor kan dölja filtillägget.
Dubbat "Unitrix" utnyttjas av Avast efter att det använts av Unitrix malware, utnyttjar denna metod ett specialtecken i Unicode för att vända ordningsföljden i ett filnamn, gömma den farliga filtillägget mitt i filnamnet och placera en ofarlig utseende falsk filtillägg nära slutet av filnamnet.
Unicode-tecknet är U + 202E: Höger till vänster Åsidosätt, och det tvingar program för att visa text i omvänd ordning. Även om det är uppenbart användbart för vissa ändamål, borde det antagligen inte stödjas i filnamn.
I huvudsak kan filens faktiska namn vara som "Awesome Song uppladdad av [U + 202e] 3 pm.SCR". Specialteckenet tvingar Windows att visa slutet på filens namn i omvänd ordning, så filens namn kommer att visas som "Awesome Song uppladdad av RCS.mp3". Det är dock inte en MP3-fil - det är en SCR-fil och den kommer att köras om du dubbelklickar på den. (Se nedan för fler typer av farliga filtillägg.)
Detta exempel är taget från en sprickplats, eftersom jag tyckte att det var särskilt bedrägligt - hålla koll på filerna du laddar ner!
Windows döljer filtillägg som standard
De flesta användare har utbildats för att inte starta otroliga .exe-filer från Internet, eftersom de kan vara skadliga. De flesta användare vet också att vissa typer av filer är säkra - till exempel om du har en JPEG-bild som heter image.jpg, kan du dubbelklicka på den och den öppnas i ditt bildvisningsprogram utan risk för att bli smittad.
Det finns bara ett problem - Windows döljer filtillägg som standard. Image.jpg-filen kan faktiskt vara image.jpg.exe, och när du dubbelklickar på den startar du den skadliga .exe-filen. Det här är en av de situationer där användarkontokontroll kan hjälpa till - skadlig programvara kan fortfarande skada utan administratörsbehörighet men kommer inte att kunna kompromissa hela ditt system.
Ännu värre än, skadliga personer kan ställa in vilken ikon de vill ha för .exe-filen. En fil med namnet image.jpg.exe med standardbildikonet kommer att se ut som en ofarlig bild med Windows standardinställningar. Medan Windows kommer att berätta att den här filen är en applikation om du tittar noga, kommer många användare inte att märka detta.
Visa filtillägg
För att skydda dig mot detta kan du aktivera filtillägg i Windows Explorer-mappinställningsfönstret. Klicka på knappen Organisera i Utforskaren och välj Mapp- och sökalternativ för att öppna den.
Avmarkera kryssrutan Dölj filnamnstillägg för kända filtyper kryssrutan på fliken Visa och klicka på OK.
Alla filtillägg blir nu synliga, så du får se den dolda .exe-filtillägget.
.exe är inte den enda farliga filförlängningen
Exe-filtillägget är inte den enda farliga filtillägget att se upp för. Filer som slutar med dessa filtillägg kan också köra kod på ditt system, vilket gör dem farliga också:
.fladdermus, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Denna lista är inte uttömmande. Om du till exempel har Oracle Java installerat, kan .jar filtillägget också vara farligt, eftersom det startar Java-program.
