Wykonywalne pliki txt!

Zastanawiacie się pewnie o co mi chodzi.

Otóż jedną z najpopularniejszych metod infekcji jest podwójne rozszerzenie pliku – skanery antywirusowe na takie sztuczki już od dawna się nie dają nabrać i podwójne rozszerzenie jest raportowane w wynikach skanowania jako ostrzeżenie.

Zestaw znaków kontrolnych UNICODE dostarcza kolejną sztuczkę do oszukiwania nazw plików.

Wykorzystanie znaku kontrolnego RLO odpowiada za zmianę początku zastępowania znaków z prawej do lewej. Wygląda to w rezultacie tak:

Plik nadal wygląda jak dotychczas z dwoma rozszerzeniami ale ostatnie rozszerzenie pliku jakie widzi użytkownik to txt, a więc jeśli i ikona pliku byłaby ikoną pliku tekstowego, to wiadomo, że początkujących użytkowników da się oszukać.

Nawet ktoś uczulony na podwójne rozszerzenia może dać się nabrać, bo przecież te ostatnie rozszerzenie jego zdaniem jest rzeczywistym rozszerzeniem pliku:

a tu avg.txt jest nazwą pliku, exe jest rozszerzeniem. Wstawienie znaku RLO przed txt powoduje rozpoczęcie wpisywania znaków od prawej do lewej, a więc wypisuje w odwróconej kolejności, co stwarza efekt innego rozszerzenia pliku.

Jak wstawić znak RLO?

Podczas edytowania nazwy pliku klikamy prawym przyciskiem i wybieramy listę „Wstaw znak kontrolny Unicode”:

Warto zapamiętać: jeśli plik ma więcej niż jedno rozszerzenie (i nieważne jakie rozszerzenie jest ostatnie), to sprawdź co to za plik, skąd go otrzymałeś i przeskanuj go programem antywirusowym.

Sprawdzając właściwości przykładowego pliku widać, że i tak jest to aplikacja:

Ostatecznie radzę całkowicie wyzbyć się zaufania do plików, których nazwa ma jakieś modyfikacje: czy to znaki kontrolne, czy podwójne rozszerzenia.

___

Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj wielofunkcyjny antywirus AVG do pełnej ochrony Twojego komputera.