Как хакерите могат да маскират злонамерени програми с фалшиви разширения на файлове
Файловите разширения могат да бъдат фалшиви - този файл с разширение .mp3 може всъщност да е изпълнима програма. Хакерите могат да фалшифицират файлови разширения, като злоупотребяват със специален Unicode символ, принуждавайки текста да се показва в обратен ред.
Windows също скрива файловите разширения по подразбиране, което е друг начин за начинаещи потребители - файл с име като picture.jpg.exe ще се появи като безвреден JPEG файл с изображение.
Прикриване на файловите разширения с експлоатацията на "Unitrix"
Ако винаги казвате на Windows да показва файлови разширения (вижте по-долу) и обръщайте внимание на тях, може да мислите, че сте в безопасност от манипулации, свързани с разширение на файлове. Въпреки това, има и други начини, по които хората могат да прикрият файловото разширение.
Наричан от „Авист” експлоатиращ от „Юнитрикс”, след като е бил използван от зловредния софтуер на Unitrix, този метод се възползва от специален символ в Unicode, за да обърне реда на символите в името на файла, скривайки опасното разширение на файла в средата на името и поставяне на безвредно изглеждащо фалшиво разширение на файла близо до края на името на файла.
Символът Unicode е U + 202E: Превключване отдясно наляво и принуждава програмите да показват текст в обратен ред. Макар че очевидно е полезна за някои цели, вероятно не бива да се поддържа в имената на файловете.
Фактическото име на файла може да бъде нещо като “Awesome Song, качен от [U + 202e] 3 pm.SCR”. Специалният знак принуждава Windows да показва края на името на файла в обратна посока, така че името на файла ще се появи като “Awesome Song uploaded by RCS.mp3”. Въпреки това, това не е MP3 файл - това е SCR файл и ще бъде изпълнен, ако го кликнете два пъти. (Вижте по-долу за повече видове опасни разширения на файлове.)
Този пример е взет от крекинг сайт, тъй като мислех, че е особено измамен - следете файловете, които изтегляте!
Windows скрива файловите разширения по подразбиране
Повечето потребители са обучени да не стартират ненадеждни .exe файлове, изтеглени от интернет, тъй като те могат да бъдат злонамерени. Повечето потребители също знаят, че някои видове файлове са безопасни - например, ако имате JPEG изображение с име image.jpg, можете да го щракнете два пъти и да се отвори във вашата програма за преглед на изображения без риск от заразяване.
Има само един проблем - Windows скрива файловите разширения по подразбиране. Файлът image.jpg всъщност може да бъде image.jpg.exe и когато щракнете два пъти върху него, ще стартирате зловредния .exe файл. Това е една от ситуациите, в които контролът на потребителските акаунти може да помогне - зловредният софтуер все още може да причини щети без администраторски права, но няма да може да компрометира цялата ви система.
Още по-лошо, злонамерените хора могат да зададат всяка икона, която искат за .exe файла. Файл с име image.jpg.exe, използващ стандартната икона на изображението, ще изглежда като безобидно изображение с настройките по подразбиране на Windows. Докато Windows ще ви каже, че този файл е приложение, ако се вгледате внимателно, много потребители няма да забележат това.
Преглед на файловите разширения
За да се предпазите от това, можете да активирате файловите разширения в прозореца за настройки на папките на Windows Explorer. Щракнете върху бутона Организиране в Windows Explorer и изберете Опции за папки и търсене за да я отворите.
Премахнете отметката от Скриване на разширения за известни типове файлове поставете отметка в раздела Изглед и кликнете OK.
Сега всички файлови разширения ще бъдат видими, така че ще видите скритото разширение .exe.
.exe не е единственото опасно разширение на файла
Разширението .exe не е единственото опасно разширение на файла, за което трябва да се грижите. Файловете, завършващи с тези файлови разширения, също могат да стартират код на вашата система, което ги прави опасни също:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Този списък не е изчерпателен. Например, ако имате инсталирана Java Oracle, разширяването на файла .jar също може да бъде опасно, тъй като ще стартира Java програми.