Como os hackers podem disfarçar programas maliciosos com extensões de arquivos falsas
As extensões de arquivo podem ser falsificadas - esse arquivo com uma extensão .mp3 pode na verdade ser um programa executável. Os hackers podem falsificar extensões de arquivos abusando de um caractere Unicode especial, forçando o texto a ser exibido na ordem inversa.
O Windows também oculta as extensões de arquivos por padrão, que é outra maneira de os usuários novatos serem enganados - um arquivo com um nome como picture.jpg.exe aparecerá como um arquivo de imagem JPEG inofensivo.
Disfarçando Extensões de Arquivos com o Exploit “Unitrix”
Se você sempre disser ao Windows para mostrar extensões de arquivo (veja abaixo) e prestar atenção nelas, poderá pensar que está a salvo de travessuras relacionadas à extensão de arquivos. No entanto, existem outras maneiras pelas quais as pessoas podem disfarçar a extensão do arquivo.
Apelidado de “Unitrix”, o Avast usava o Unicode para inverter a ordem dos caracteres em um nome de arquivo, ocultando a extensão de arquivo perigosa no meio do nome do arquivo. e colocando uma extensão de arquivo falsa inofensiva perto do final do nome do arquivo.
O caractere Unicode é U + 202E: Anulação da Direita para a Esquerda e força os programas a exibir o texto na ordem inversa. Embora seja obviamente útil para alguns propósitos, provavelmente não deveria ser suportado em nomes de arquivos.
Essencialmente, o nome real do arquivo pode ser algo como “Música Incrível enviada por [U + 202e] 3 pm.SCR”. O caractere especial força o Windows a exibir o final do nome do arquivo ao contrário, de modo que o nome do arquivo aparecerá como “Awesome Song uploaded by RCS.mp3”. No entanto, não é um arquivo MP3 - é um arquivo SCR e será executado se você clicar duas vezes nele. (Veja abaixo mais tipos de extensões de arquivo perigosas.)
Este exemplo foi retirado de um site de cracking, pois achei que era particularmente enganador - fique de olho nos arquivos que você baixar!
Windows oculta extensões de arquivo por padrão
A maioria dos usuários foi treinada para não iniciar o download de arquivos .exe não confiáveis da Internet, pois eles podem ser mal-intencionados. A maioria dos usuários também sabe que alguns tipos de arquivos são seguros - por exemplo, se você tiver uma imagem JPEG chamada image.jpg, poderá clicar duas vezes nela e ela será aberta em seu programa de visualização de imagens sem risco de ser infectado.
Há apenas um problema - o Windows oculta as extensões de arquivo por padrão. O arquivo image.jpg pode realmente ser image.jpg.exe, e quando você clica duas vezes nele, você inicia o arquivo .exe malicioso. Esta é uma das situações em que o Controle de Conta de Usuário pode ajudar - o malware ainda pode causar danos sem permissões de administrador, mas não comprometerá todo o seu sistema.
Pior ainda, indivíduos mal-intencionados podem definir qualquer ícone que desejarem para o arquivo .exe. Um arquivo chamado image.jpg.exe usando o ícone de imagem padrão parecerá uma imagem inofensiva com as configurações padrão do Windows. Enquanto o Windows dirá a você que este arquivo é um aplicativo se você olhar de perto, muitos usuários não notarão isso.
Exibindo extensões de arquivo
Para ajudar a proteger contra isso, você pode ativar extensões de arquivo na janela Configurações de Pasta do Windows Explorer. Clique no botão Organizar no Windows Explorer e selecione Opções de pasta e pesquisa para abri-lo.
Desmarque a opção Ocultar extensões de ficheiros conhecidos caixa de seleção na guia Exibir e clique em OK.
Todas as extensões de arquivos agora estarão visíveis, então você verá a extensão de arquivo .exe oculta.
.exe não é a única extensão de arquivo perigoso
A extensão de arquivo .exe não é a única extensão de arquivo perigosa a ser procurada. Os arquivos que terminam com essas extensões de arquivo também podem executar código em seu sistema, tornando-os perigosos também:
.morcego, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Esta lista não é exaustiva. Por exemplo, se você tiver o Java do Oracle instalado, a extensão do arquivo .jar também poderá ser perigosa, pois ele iniciará programas Java.