Làm thế nào tin tặc có thể ngụy trang các chương trình độc hại với phần mở rộng tệp giả mạo
Phần mở rộng tệp có thể được làm giả - tệp đó có phần mở rộng .mp3 thực sự có thể là một chương trình thực thi. Tin tặc có thể giả mạo phần mở rộng tệp bằng cách lạm dụng một ký tự Unicode đặc biệt, buộc văn bản phải được hiển thị theo thứ tự ngược lại.
Windows cũng ẩn các phần mở rộng tệp theo mặc định, đây là một cách khác mà người dùng mới có thể bị lừa - một tệp có tên như image.jpg.exe sẽ xuất hiện dưới dạng tệp hình ảnh JPEG vô hại.
Phần mở rộng tập tin ngụy trang với phần mềm khai thác đơn vị trực tuyến
Nếu bạn luôn yêu cầu Windows hiển thị các tiện ích mở rộng tệp (xem bên dưới) và chú ý đến chúng, bạn có thể nghĩ rằng bạn an toàn trước các shenanigans liên quan đến tiện ích mở rộng tệp. Tuy nhiên, có nhiều cách khác để mọi người có thể ngụy trang phần mở rộng tập tin.
Được đặt tên là khai thác đơn vị khai thác dữ liệu được cài đặt bởi Avast sau khi được sử dụng bởi phần mềm độc hại Unitrix, phương pháp này tận dụng một ký tự đặc biệt trong Unicode để đảo ngược thứ tự các ký tự trong tên tệp, ẩn phần mở rộng tệp nguy hiểm ở giữa tên tệp và đặt phần mở rộng tệp giả mạo vô hại ở gần cuối tên tệp.
Ký tự Unicode là U + 202E: Ghi đè từ phải sang trái và buộc các chương trình hiển thị văn bản theo thứ tự ngược lại. Mặc dù rõ ràng nó hữu ích cho một số mục đích, nhưng có lẽ nó không nên được hỗ trợ trong tên tệp.
Về cơ bản, tên thật của tập tin có thể là một cái gì đó giống như bài hát Awesome Awesome được tải lên bởi [U + 202e] 3 giờ chiều.SCRTHER. Ký tự đặc biệt buộc Windows hiển thị phần cuối của tên tệp theo chiều ngược lại, vì vậy tên của tệp sẽ xuất hiện dưới dạng Song Awesome Song được tải lên bởi RCS.mp3. Tuy nhiên, đó không phải là tệp MP3 - đó là tệp SCR và nó sẽ được thực thi nếu bạn bấm đúp vào tệp. (Xem bên dưới để biết thêm các loại tiện ích mở rộng tệp nguy hiểm.)
Ví dụ này được lấy từ một trang web bẻ khóa, vì tôi nghĩ nó đặc biệt lừa đảo - hãy theo dõi các tệp bạn tải xuống!
Windows ẩn phần mở rộng tệp theo mặc định
Hầu hết người dùng đã được đào tạo để không khởi chạy các tệp .exe không đáng tin cậy từ Internet vì chúng có thể độc hại. Hầu hết người dùng cũng biết rằng một số loại tệp an toàn - ví dụ: nếu bạn có hình ảnh JPEG có tên image.jpg, bạn có thể nhấp đúp vào tệp và nó sẽ mở trong chương trình xem hình ảnh của bạn mà không có nguy cơ bị nhiễm.
Chỉ có một vấn đề - Windows ẩn các phần mở rộng tệp theo mặc định. Tệp image.jpg thực sự có thể là image.jpg.exe và khi bạn nhấp đúp vào tệp, bạn sẽ khởi chạy tệp .exe độc hại. Đây là một trong những tình huống mà Kiểm soát tài khoản người dùng có thể trợ giúp - phần mềm độc hại vẫn có thể gây thiệt hại mà không có quyền của quản trị viên, nhưng sẽ không thể thỏa hiệp toàn bộ hệ thống của bạn.
Tệ hơn nữa, các cá nhân độc hại có thể đặt bất kỳ biểu tượng nào họ muốn cho tệp .exe. Một tệp có tên image.jpg.exe sử dụng biểu tượng hình ảnh tiêu chuẩn sẽ trông giống như một hình ảnh vô hại với các cài đặt mặc định của Windows. Mặc dù Windows sẽ cho bạn biết rằng tệp này là một ứng dụng nếu bạn quan sát kỹ, nhiều người dùng sẽ không nhận thấy điều này.
Xem phần mở rộng tập tin
Để giúp bảo vệ chống lại điều này, bạn có thể bật tiện ích mở rộng tệp trong cửa sổ Cài đặt thư mục của Windows Explorer. Nhấp vào nút Sắp xếp trong Windows Explorer và chọn Tùy chọn thư mục và tìm kiếm mở nó ra.
Bỏ chọn Ẩn phần tên mở rộng đối với những loại file mà hệ thống đã biết hộp kiểm trên tab Xem và bấm OK.
Tất cả các phần mở rộng tệp bây giờ sẽ hiển thị, vì vậy bạn sẽ thấy phần mở rộng tệp .exe ẩn.
.exe không phải là phần mở rộng tập tin nguy hiểm duy nhất
Phần mở rộng tệp .exe không phải là phần mở rộng tệp nguy hiểm duy nhất cần chú ý. Các tệp kết thúc bằng các phần mở rộng tệp này cũng có thể chạy mã trên hệ thống của bạn, khiến chúng cũng nguy hiểm:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Danh sách này không đầy đủ. Ví dụ: nếu bạn đã cài đặt Java của Oracle, phần mở rộng tệp .jar cũng có thể nguy hiểm vì nó sẽ khởi chạy các chương trình Java.
