Wie Hacker bösartige Programme mit falschen Dateierweiterungen verschleiern können
Dateierweiterungen können gefälscht werden - diese Datei mit der Erweiterung .mp3 kann tatsächlich ein ausführbares Programm sein. Hacker können Dateierweiterungen fälschen, indem sie ein spezielles Unicode-Zeichen missbrauchen, wodurch der Text in umgekehrter Reihenfolge angezeigt wird.
Windows verbirgt auch standardmäßig Dateierweiterungen, was auch eine andere Möglichkeit ist, unerfahrene Benutzer zu täuschen - eine Datei mit einem Namen wie picture.jpg.exe erscheint als harmlose JPEG-Bilddatei.
Verschleiern von Dateierweiterungen mit dem Exploit "Unitrix"
Wenn Sie Windows immer anweisen, Dateierweiterungen anzuzeigen (siehe unten) und darauf zu achten, denken Sie möglicherweise, dass Sie vor den Dateierweiterungen im Zusammenhang mit shenanigans geschützt sind. Es gibt jedoch auch andere Möglichkeiten, die Dateierweiterung zu verbergen.
Diese Methode wurde von Avast als „Unitrix“ bezeichnet, nachdem sie von der Unitrix-Malware verwendet wurde. Diese Methode nutzt ein Sonderzeichen in Unicode, um die Reihenfolge der Zeichen in einem Dateinamen umzukehren und die gefährliche Dateierweiterung in der Mitte des Dateinamens zu verbergen und Platzieren einer harmlos aussehenden gefälschten Dateierweiterung am Ende des Dateinamens.
Das Unicode-Zeichen lautet U + 202E: Von rechts nach links überschreiben, und Programme werden gezwungen, Text in umgekehrter Reihenfolge anzuzeigen. Obwohl dies offensichtlich für einige Zwecke nützlich ist, sollte es wahrscheinlich nicht in Dateinamen unterstützt werden.
Im Wesentlichen kann der tatsächliche Name der Datei etwa so aussehen wie "Awesome Song hochgeladen von [U + 202e] 3 pm.SCR". Das Sonderzeichen zwingt Windows, das Ende des Dateinamens umgekehrt anzuzeigen, sodass der Dateiname als "Awesome Song uploaded by RCS.mp3" angezeigt wird. Es handelt sich jedoch nicht um eine MP3-Datei, sondern um eine SCR-Datei, die ausgeführt wird, wenn Sie darauf doppelklicken. (Weitere Arten gefährlicher Dateierweiterungen finden Sie unten.)
Dieses Beispiel stammt von einer knackenden Website, da ich es für besonders betrügerisch hielt. Behalten Sie die Dateien im Auge, die Sie herunterladen!
Windows blendet Dateierweiterungen standardmäßig aus
Die meisten Benutzer wurden geschult, nicht vertrauenswürdige .exe-Dateien aus dem Internet herunterzuladen, da sie möglicherweise schädlich sind. Die meisten Benutzer wissen auch, dass einige Dateitypen sicher sind. Wenn Sie beispielsweise ein JPEG-Bild namens image.jpg haben, können Sie darauf doppelklicken und es wird in Ihrem Bildbetrachtungsprogramm geöffnet, ohne dass die Gefahr einer Infektion besteht.
Es gibt nur ein Problem: Windows verbirgt standardmäßig Dateierweiterungen. Die image.jpg-Datei ist möglicherweise image.jpg.exe. Wenn Sie darauf doppelklicken, starten Sie die schädliche EXE-Datei. Dies ist eine der Situationen, in denen die Benutzerkontensteuerung helfen kann - Malware kann immer noch ohne Administratorberechtigung Schäden anrichten, kann jedoch nicht das gesamte System beeinträchtigen.
Schlimmer noch, böswillige Personen können jedes gewünschte Symbol für die EXE-Datei festlegen. Eine Datei mit dem Namen image.jpg.exe, die das Standardabbildsymbol verwendet, sieht in den Standardeinstellungen von Windows wie ein harmloses Bild aus. Während Windows Ihnen mitteilt, dass es sich bei dieser Datei um eine Anwendung handelt, wird dies bei vielen Benutzern nicht bemerkt.
Dateierweiterungen anzeigen
Um dies zu verhindern, können Sie Dateierweiterungen im Fenstereinstellungen-Fenster von Windows Explorer aktivieren. Klicken Sie in Windows Explorer auf die Schaltfläche Organisieren und wählen Sie aus Ordner und Suchoptionen um es zu öffnen.
Deaktivieren Sie das Kontrollkästchen Erweiterungen für bekannte Dateitypen verbergen Aktivieren Sie das Kontrollkästchen auf der Registerkarte Ansicht und klicken Sie auf OK.
Alle Dateierweiterungen sind jetzt sichtbar, daher wird die ausgeblendete EXE-Dateierweiterung angezeigt.
.Exe ist nicht die einzige gefährliche Dateierweiterung
Die .exe-Dateierweiterung ist nicht die einzige gefährliche Dateierweiterung, auf die Sie achten müssen. Dateien, die mit diesen Dateierweiterungen enden, können auch Code auf Ihrem System ausführen, wodurch sie ebenfalls gefährlich werden:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Diese Liste ist nicht erschöpfend. Wenn Sie beispielsweise Java von Oracle installiert haben, kann die Dateierweiterung .jar auch gefährlich sein, da dadurch Java-Programme gestartet werden.