Cómo los piratas informáticos pueden disfrazar programas maliciosos con extensiones de archivos falsos
Las extensiones de archivo pueden ser falsificadas: ese archivo con una extensión .mp3 puede ser realmente un programa ejecutable. Los piratas informáticos pueden falsificar extensiones de archivos al abusar de un carácter especial de Unicode, lo que obliga a que el texto se muestre en orden inverso.
Windows también oculta las extensiones de archivo de manera predeterminada, que es otra manera de engañar a los usuarios novatos: un archivo con un nombre como picture.jpg.exe aparecerá como un archivo de imagen JPEG inofensivo.
Disfrazando las extensiones de archivo con el exploit "Unitrix"
Si siempre le dice a Windows que muestre las extensiones de archivo (ver más abajo) y les preste atención, puede pensar que está a salvo de las travesuras relacionadas con la extensión de archivo. Sin embargo, hay otras formas en que la gente puede ocultar la extensión del archivo..
Apodado el exploit "Unitrix" por Avast después de que fue utilizado por el malware Unitrix, este método aprovecha un carácter especial en Unicode para invertir el orden de los caracteres en un nombre de archivo, ocultando la peligrosa extensión de archivo en medio del nombre del archivo y colocar una extensión de archivo falsa de apariencia inofensiva cerca del final del nombre del archivo.
El carácter Unicode es U + 202E: Anulación de derecha a izquierda y obliga a los programas a mostrar el texto en orden inverso. Aunque es obviamente útil para algunos propósitos, probablemente no debería ser compatible con los nombres de archivos.
Esencialmente, el nombre real del archivo puede ser algo así como "Awesome Song subido por [U + 202e] 3 pm.SCR". El carácter especial obliga a Windows a mostrar el final del nombre del archivo al revés, por lo que el nombre del archivo aparecerá como "Awesome Song uploaded by RCS.mp3". Sin embargo, no es un archivo MP3, es un archivo SCR y se ejecutará si hace doble clic en él. (Vea a continuación para más tipos de extensiones de archivo peligrosas.)
Este ejemplo está tomado de un sitio de craqueo, ya que pensé que era particularmente engañoso, vigile los archivos que descarga.!
Windows oculta las extensiones de archivo por defecto
La mayoría de los usuarios han recibido capacitación para no iniciar la descarga de archivos .exe no confiables desde Internet, ya que pueden ser maliciosos. La mayoría de los usuarios también saben que algunos tipos de archivos son seguros; por ejemplo, si tiene una imagen JPEG llamada image.jpg, puede hacer doble clic en ella y se abrirá en su programa de visualización de imágenes sin riesgo de infectarse..
Solo hay un problema: Windows oculta las extensiones de archivo de forma predeterminada. El archivo image.jpg puede realmente ser image.jpg.exe, y cuando haga doble clic en él, iniciará el archivo .exe malicioso. Esta es una de las situaciones en las que el Control de cuentas de usuario puede ayudar: el malware aún puede hacer daño sin los permisos de administrador, pero no podrá comprometer todo el sistema..
Peor aún, las personas malintencionadas pueden establecer cualquier icono que deseen para el archivo .exe. Un archivo llamado image.jpg.exe que utiliza el icono de imagen estándar se verá como una imagen inofensiva con la configuración predeterminada de Windows. Si bien Windows le dirá que este archivo es una aplicación si lo observa detenidamente, muchos usuarios no lo notarán..
Visualización de extensiones de archivo
Para protegerse contra esto, puede habilitar las extensiones de archivo en la ventana Configuración de la carpeta de Windows Explorer. Haga clic en el botón Organizar en el Explorador de Windows y seleccione Carpeta y opciones de búsqueda. Para abrirlo.
Desmarque la Ocultar las extensiones para tipos de archivo conocidos casilla de verificación en la pestaña Ver y haga clic en Aceptar.
Ahora todas las extensiones de archivos estarán visibles, por lo que verá la extensión de archivo oculto .exe.
.exe no es la única extensión de archivo peligrosa
La extensión de archivo .exe no es la única extensión de archivo peligrosa a tener en cuenta. Los archivos que terminan con estas extensiones de archivo también pueden ejecutar código en su sistema, lo que también los hace peligrosos:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Esta lista no es exhaustiva. Por ejemplo, si tiene instalado Java de Oracle, la extensión de archivo .jar también puede ser peligrosa, ya que lanzará programas Java.