Tiedostotunnisteet voidaan väärentää - kyseinen tiedosto on.mp3-laajennus voi itse asiassa olla suoritettava ohjelma. Hakkerit voivat väärentää tiedostopäätteitä väärinkäyttämällä erityistä Unicode-merkkiä pakottaen tekstin näyttämään käänteisessä järjestyksessä.
Windows piilottaa myös tiedostotunnisteet oletuksena, mikä on myös tapa, jolla aloittelijoiden käyttäjiä voidaan pettää - tiedosto, jonka nimi on picture.jpg.exe, näkyy vaarattomana JPEG-kuvatiedostona.
Tiedostotunnisteiden peittäminen “Unitrix” Exploit -sovelluksella
Jos käsket Windowsin aina näyttää tiedostonlaajennukset (katso alla) ja kiinnittämällä niihin huomiota, saatat ajatella, että olet turvassa tiedostopääteisiin liittyvistä shenanigan-tiedostoista. On kuitenkin muita tapoja, joilla ihmiset voivat piilottaa tiedostotunnisteen.
Jäljensi Avastin ”Unitrix” -hyökkäyksen sen jälkeenoli Unitrix-haittaohjelmien käyttämä, tämä menetelmä hyödyntää Unicoden erikoismerkkiä kääntääksesi tiedostonimen merkkien järjestyksen, piilottamalla vaarallisen tiedostotunnisteen tiedoston nimen keskelle ja sijoittamalla vaarattoman näköisen väärennetyn tiedostotunnisteen lähelle tiedostonimen loppu.
Unicode-merkki on U + 202E: Oikealta vasemmalle ohittaminen, ja se pakottaa ohjelmat näyttämään tekstiä päinvastaisessa järjestyksessä. Vaikka se on tietenkin hyödyllinen joihinkin tarkoituksiin, sitä ei todennäköisesti pitäisi tukea tiedostojen nimissä.
Pohjimmiltaan tiedoston todellinen nimi voi ollajotain "Mahtava kappale ladannut [U + 202e] 3 pm.SCR". Erikoismerkki pakottaa Windowsin näyttämään tiedoston nimen lopun käänteisesti, joten tiedoston nimi näkyy nimellä ”Mahtava kappale ladannut RCS.mp3”. Se ei kuitenkaan ole MP3-tiedosto - se on SCR-tiedosto ja se suoritetaan, jos kaksoisnapsautat sitä. (Katso alla lisää tyyppejä vaarallisista tiedostotunnisteista.)
Tämä esimerkki on otettu halkeilusivustolta, koska minusta se oli erityisen petollinen - pidä silmällä lataamiasi tiedostoja!
Windows piilottaa tiedostotunnisteet oletuksena
Suurin osa käyttäjistä on koulutettu olemaan käynnistämättäepäluotetut .exe-tiedostot ladataan Internetistä, koska ne saattavat olla haitallisia. Useimmat käyttäjät tietävät myös, että tietyt tiedostotyypit ovat turvallisia - esimerkiksi jos sinulla on JPEG-kuva nimeltä image.jpg, voit kaksoisnapsauttaa sitä ja se avautuu kuvan katseluohjelmassa ilman riskiä saada tartunta.
On vain yksi ongelma - Windows piilottaa tiedostonlaajennukset oletuksena. Image.jpg-tiedosto voi todella olla image.jpg.exe, ja kun kaksoisnapsautat sitä, käynnistät haitallisen .exe-tiedoston. Tämä on yksi tilanteista, joissa käyttäjätilien valvonta voi auttaa - haittaohjelmat voivat silti vahingoittaa ilman järjestelmänvalvojan oikeuksia, mutta eivät voi vaarantaa koko järjestelmääsi.
Vielä pahempaa, haitalliset henkilöt voivat asettaa minkä tahansa kuvakkeenhe haluavat .exe-tiedoston. Tiedosto nimeltä image.jpg.exe, joka käyttää normaalia kuvakuvaketta, näyttää vaarattomalta kuvalta Windowsin oletusasetuksilla. Vaikka Windows kertoo, että tämä tiedosto on sovellus, jos tarkastellaan tarkkaan, monet käyttäjät eivät huomaa tätä.
Tiedostotunnisteiden katseleminen
Voit suojata tätä vastaan ottamalla tiedostotunnisteet käyttöön Windows Explorerin Kansioasetukset-ikkunassa. Napsauta Järjestä-painiketta Windowsin Resurssienhallinnassa ja valitse Kansio- ja hakuvaihtoehdot avata se.
Poista valinta Piilota tunnettujen tiedostotyyppien laajennukset Valitse välilehti -valintaruutu ja napsauta OK.
Kaikki tiedostotunnisteet ovat nyt näkyvissä, joten näet piilotetun .exe-tiedostotunnisteen.
.exe ei ole ainoa vaarallinen tiedostotunniste
.Exe-tiedostotunniste ei ole ainoa vaarallinen tiedostopääte, jota kannattaa etsiä. Tiedostot, jotka päättyvät näillä tiedostopääteillä, voivat myös suorittaa koodin järjestelmässäsi, mikä tekee niistä myös vaarallisia:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Tämä luettelo ei ole tyhjentävä. Jos sinulla on esimerkiksi Oraclen Java asennettuna, .jar-tiedostotunniste voi myös olla vaarallinen, koska se käynnistää Java-ohjelmat.
