Bagaimana Peretas Boleh Menyamarkan Program Berbahaya Dengan Sambungan Fail Palsu
Sambungan fail boleh dipalsukan - fail yang mempunyai sambungan .mp3 boleh sebenarnya menjadi program yang boleh dilaksanakan. Hacker boleh membuat sambungan fail palsu dengan menyalahgunakan watak Unicode khas, memaksa teks dipaparkan dalam urutan terbalik.
Windows juga menyembunyikan sambungan fail secara lalai, yang merupakan cara lain pengguna pemula boleh ditipu - fail dengan nama seperti picture.jpg.exe akan muncul sebagai fail imej JPEG yang tidak berbahaya.
Menyebarkan Sambutan Fail Dengan Exploit "Unitrix"
Jika anda selalu memberitahu Windows untuk memaparkan sambungan fail (lihat di bawah) dan memberi perhatian kepada mereka, anda mungkin berfikir bahawa anda selamat dari penyalahgunaan fail yang berkaitan dengan fail. Walau bagaimanapun, terdapat cara lain yang boleh menyembunyikan sambungan fail.
Digelar "Unitrix" mengeksploitasi oleh Avast selepas ia digunakan oleh malware Unitrix, kaedah ini mengambil kesempatan daripada watak istimewa dalam Unicode untuk membalikkan urutan aksara dalam nama fail, menyembunyikan sambungan fail berbahaya di tengah-tengah nama fail dan meletakkan pelanjutan fail palsu yang kelihatan tidak selamat pada akhir nama fail.
Watak Unicode ialah U + 202E: Override Right-to-Kiri, dan memaksa program untuk memaparkan teks dalam urutan terbalik. Walaupun ia jelas berguna untuk beberapa tujuan, ia mungkin tidak seharusnya disokong dalam nama fail.
Pada asasnya, nama sebenar fail itu boleh menjadi seperti "Awesome Song yang dimuat naik oleh [U + 202e] 3 pm.SCR". Watak khas memaksa Windows untuk memaparkan nama akhir fail dalam sebaliknya, jadi nama fail akan muncul sebagai "Lagu Awesome yang dimuat naik oleh RCS.mp3". Walau bagaimanapun, ia bukan fail MP3 - ia adalah fail SCR dan ia akan dilaksanakan jika anda mengklik dua kali. (Lihat di bawah untuk lebih banyak jenis pelanjutan fail berbahaya.)
Contoh ini diambil dari tapak retak, seperti yang saya fikir ia sangat menipu - mengawasi fail yang anda muat turun!
Sambungan Fail Windows Tersembunyi Secara Lalai
Kebanyakan pengguna telah dilatih untuk tidak melancarkan fail-fail exe yang tidak dipercayai. Muat turun dari Internet kerana mereka mungkin berniat jahat. Kebanyakan pengguna juga mengetahui bahawa beberapa jenis fail selamat - contohnya, jika anda mempunyai imej JPEG yang bernama image.jpg, anda boleh mengklik dua kali dan ia akan terbuka dalam program tontonan gambar anda tanpa sebarang risiko mendapat terinfeksi.
Terdapat satu masalah sahaja - Windows menyembunyikan sambungan fail secara lalai. Fail imej.jpg mungkin sebenarnya imej.jpg.exe, dan apabila anda mengklik dua kali, anda akan melancarkan fail berniat jahat .exe. Ini adalah salah satu situasi di mana Kawalan Akaun Pengguna boleh membantu - malware masih boleh melakukan kerosakan tanpa kebenaran pentadbir, tetapi tidak dapat berkompromi seluruh sistem anda.
Lebih buruk lagi, individu yang berniat jahat boleh menetapkan sebarang ikon yang mereka mahu untuk fail .exe. Fail yang bernama image.jpg.exe menggunakan ikon imej standard akan kelihatan seperti imej yang tidak berbahaya dengan tetapan lalai Windows. Walaupun Windows akan memberitahu anda bahawa fail ini adalah aplikasi jika anda melihat dengan teliti, ramai pengguna tidak akan menyedarinya.
Melihat Sambungan Fail
Untuk membantu melindungi terhadap ini, anda boleh mendayakan pelanjutan fail dalam tetingkap Tetapan Folder Windows Explorer. Klik butang Organisasikan di Windows Explorer dan pilih Pilihan folder dan carian untuk membukanya.
Nyahtanda Sembunyikan sambungan untuk jenis fail yang diketahui kotak semak pada tab Lihat dan klik OK.
Semua sambungan fail kini boleh dilihat, jadi anda akan melihat sambungan fail tersembunyi .exe.
.exe Bukankah Lanjutan File Berbahaya sahaja
Sambungan fail .exe bukan satu-satunya sambungan fail berbahaya untuk diperhatikan. Fail yang berakhir dengan sambungan fail ini juga boleh menjalankan kod pada sistem anda, menjadikannya berbahaya juga:
.kelelawar, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Senarai ini tidak lengkap. Sebagai contoh, jika anda memasang Java Oracle, sambungan fail .jar juga boleh berbahaya, kerana ia akan melancarkan program Java.