Comment les pirates peuvent dissimuler des programmes malveillants avec de fausses extensions de fichier
Les extensions de fichier peuvent être falsifiées - ce fichier avec une extension .mp3 peut en fait être un programme exécutable. Les pirates peuvent simuler des extensions de fichier en abusant d'un caractère Unicode spécial, forçant l'affichage du texte dans l'ordre inverse..
Windows masque également les extensions de fichier par défaut, ce qui constitue un autre moyen de tromper les utilisateurs novices: un fichier portant un nom tel que picture.jpg.exe apparaîtra sous la forme d'un fichier image JPEG inoffensif..
Déguisement des extensions de fichiers avec l'exploit «Unitrix»
Si vous dites toujours à Windows de montrer les extensions de fichier (voir ci-dessous) et d'y prêter attention, vous pensez peut-être que vous n'êtes pas à l'abri des manigances liées aux extensions de fichier. Cependant, il existe d'autres moyens de masquer l'extension de fichier.
Surnommé l'exploit "Unitrix" par Avast après son utilisation par le logiciel malveillant Unitrix, cette méthode tire parti d'un caractère spécial en Unicode pour inverser l'ordre des caractères dans un nom de fichier, masquant l'extension de fichier dangereuse au milieu du nom de fichier. et en plaçant une fausse extension de fichier inoffensive à la fin du nom de fichier.
Le caractère Unicode est U + 202E: neutralisation de droite à gauche et oblige les programmes à afficher le texte dans l'ordre inverse. Bien que ce soit évidemment utile à certaines fins, il ne devrait probablement pas être pris en charge dans les noms de fichiers.
Essentiellement, le nom réel du fichier peut être quelque chose comme "Awesome Song téléchargé par [U + 202e] 3 pm.SCR". Le caractère spécial oblige Windows à afficher la fin du nom du fichier à l'envers, de sorte que le nom du fichier apparaîtra comme suit: «Chanson impressionnante téléchargée par RCS.mp3». Cependant, ce n'est pas un fichier MP3 - c'est un fichier SCR et il sera exécuté si vous double-cliquez dessus. (Voir ci-dessous pour plus de types d'extensions de fichiers dangereuses.)
Cet exemple est tiré d'un site de craquage, car je pensais qu'il était particulièrement trompeur. Surveillez les fichiers que vous téléchargez.!
Windows masque les extensions de fichier par défaut
La plupart des utilisateurs ont été formés pour ne pas lancer le téléchargement de fichiers .exe non fiables à partir d'Internet, car ils pourraient être malveillants. La plupart des utilisateurs savent également que certains types de fichiers sont sûrs - par exemple, si vous avez une image JPEG nommée image.jpg, vous pouvez double-cliquer dessus et elle s'ouvrira dans votre programme de visualisation d'images sans risque d'infection..
Il n'y a qu'un problème: Windows masque les extensions de fichier par défaut. Le fichier image.jpg est peut-être réellement image.jpg.exe. Lorsque vous double-cliquez dessus, vous lancez le fichier .exe malveillant. C’est l’une des situations où le contrôle de compte d’utilisateur peut aider - les logiciels malveillants peuvent toujours causer des dommages sans autorisation de l’administrateur, mais ne peuvent pas compromettre l’ensemble du système..
Pire encore, les personnes mal intentionnées peuvent définir l’icône de leur choix pour le fichier .exe. Un fichier nommé image.jpg.exe utilisant l’icône d’image standard ressemblera à une image inoffensive avec les paramètres par défaut de Windows. Bien que Windows vous dise que ce fichier est une application si vous regardez de près, beaucoup d’utilisateurs ne le remarqueront pas..
Affichage des extensions de fichier
Pour vous protéger contre cela, vous pouvez activer les extensions de fichier dans la fenêtre Paramètres des dossiers de l'Explorateur Windows. Cliquez sur le bouton Organiser dans Windows Explorer et sélectionnez Dossier et options de recherche pour l'ouvrir.
Décocher la Masquer les extensions pour les types de fichiers connus case à cocher sur l'onglet Affichage et cliquez sur OK.
Toutes les extensions de fichiers seront maintenant visibles, vous verrez donc l'extension de fichier .exe cachée.
.exe n'est pas la seule extension de fichier dangereuse
L'extension de fichier .exe n'est pas la seule extension de fichier dangereuse à rechercher. Les fichiers se terminant par ces extensions de fichier peuvent également exécuter du code sur votre système, ce qui les rend également dangereux:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Cette liste n'est pas exhaustive. Par exemple, si vous avez Java installé sur Oracle, l’extension de fichier .jar peut également être dangereuse, car elle lancera des programmes Java..