Kaip įsilaužėliai gali nuslėpti kenkėjiškas programas su padirbtų failų plėtiniais
Failų plėtinius galima suklastoti - šis failas su .mp3 plėtiniu iš tikrųjų gali būti vykdoma programa. Piratai gali suklastoti failų plėtinius, piktnaudžiavę specialia Unicode simboliu, verčia tekstą rodyti atvirkštine tvarka.
„Windows“ taip pat paslėpia failų plėtinius pagal numatytuosius nustatymus, o tai yra dar vienas būdas, kaip naujokai gali būti apgauti - failas, kurio pavadinimas kaip picture.jpg.exe, bus rodomas kaip nekenksmingas JPEG vaizdo failas.
Failų plėtinių paslėpimas naudojant „Unitrix“ išnaudojimą
Jei visuomet pasakysite „Windows“ rodyti failų plėtinius (žr. Žemiau) ir atkreipkite dėmesį į juos, galite manyti, kad esate saugūs nuo failų plėtinio. Tačiau yra ir kitų būdų, kaip žmonės gali nuslėpti failo plėtinį.
„Unitrix“ išnaudojimas „Avast“ po to, kai jį naudojo „Unitrix“ kenkėjiškas programas, šis metodas naudoja „Unicode“ specialųjį ženklą, kad pakeistų failo pavadinimo simbolių eilę, paslėpdamas pavojingą failo plėtinį failo pavadinimo viduryje ir šalia failo pavadinimo pabaigos dedamas nekenksmingas netikrų failų plėtinys.
Unikodo simbolis yra U + 202E: dešiniojo į kairę nepaisymas, ir tai verčia programas rodyti tekstą atvirkštine tvarka. Nors tai akivaizdžiai naudinga kai kuriems tikslams, ji tikriausiai neturėtų būti palaikoma failų pavadinimais.
Iš esmės failo faktinis pavadinimas gali būti kažkas panašaus į „Awesome Song“, kurią įkėlė [U + 202e] 3 pm.SCR. Specialusis simbolis verčia „Windows“ rodyti failo pavadinimo pabaigą atvirkščiai, todėl failo pavadinimas pasirodys kaip „Awesome Song uploaded by RCS.mp3“. Tačiau tai nėra MP3 failas - tai SCR failas ir jis bus įvykdytas, jei jį dukart spustelėsite. (Žr. Toliau pateikiamus daugiau pavojingų failų plėtinių tipų.)
Šis pavyzdys paimtas iš krekingo svetainės, nes maniau, kad tai buvo ypač apgaulinga - stebėkite atsisiuntusius failus!
„Windows“ paslėpia failų plėtinius pagal nutylėjimą
Dauguma naudotojų buvo apmokyti nepradėti nepatikimų .exe failų, kuriuos galima atsisiųsti iš interneto, nes jie gali būti kenkėjiški. Dauguma vartotojų taip pat žino, kad kai kurie failų tipai yra saugūs - pavyzdžiui, jei turite JPEG vaizdą, pavadintą image.jpg, galite jį dukart spustelėti ir atverti vaizdų peržiūros programoje be jokios rizikos užsikrėsti.
Yra tik viena problema - „Windows“ pagal nutylėjimą slepia failų plėtinius. Failas „image.jpg“ iš tikrųjų gali būti „image.jpg.exe“, o dukart spustelėjus jį paleisite kenksmingą .exe failą. Tai yra viena iš situacijų, kai naudotojų abonemento valdymas gali padėti - kenkėjiškos programos vis dar gali padaryti žalą be administratoriaus teisių, tačiau negalės pakenkti visai sistemai.
Dar blogiau, kenkėjiški asmenys gali nustatyti bet kurią piktogramą, kurią jie nori .exe failui. Failas, pavadintas image.jpg.exe, naudojant standartinę vaizdo piktogramą, atrodys kaip nekenksmingas vaizdas su „Windows“ numatytais nustatymais. Nors „Windows“ jums pasakys, kad šis failas yra programa, jei atidžiai matote, daugelis vartotojų tai nepastebės.
Failų plėtinių peržiūra
Norėdami apsaugoti nuo šio, galite įgalinti failų plėtinius „Windows Explorer“ aplanko nustatymų lange. Spustelėkite mygtuką „Organizuoti“, esančią „Windows Explorer“ ir pasirinkite Aplanko ir paieškos parinktys atidaryti.
Pašalinkite žymėjimą Slėpti žinomų failų tipų plėtinius žymės langelis skirtuke Rodymas ir spustelėkite Gerai.
Dabar visi failų plėtiniai bus matomi, todėl pamatysite paslėptą .exe failo plėtinį.
.exe nėra vienintelis pavojingo failo plėtinys
„.Exe“ failo plėtinys nėra vienintelis pavojingas failo plėtinys, kurį reikia stebėti. Failai, kurie baigiasi šiais failų plėtiniais, taip pat gali paleisti kodą jūsų sistemoje, taip pat padaryti juos pavojingus:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Šis sąrašas nėra išsamus. Pavyzdžiui, jei įdiegėte „Oracle“ „Java“, „.jar“ failo plėtinys taip pat gali būti pavojingas, nes jis paleis „Java“ programas.