Skoči na vsebino
Varni na internetu
Primeri prevare /

Naj vas pdf priponka ne zavede, da si sami naložite virus

Po neki raziskavi je za zagon skoraj 45% vseh zlonamernih programov potrebna interakcija samega uporabnika. V vseh primerih pa to ne pomeni, da veselo klikamo na čisto vse povezave in odpiramo raznorazne izvršljive datoteke, včasih je dovolj samo majhna nepozornost.

Predstavljajte si, da dobite elektronsko sporočilo, lahko tudi od znane osebe, v katerem prejmete neko poročilo:

Primer elektronskega sporočila z virusom v priponki
Primer elektronskega sporočila z virusom v priponki

Sporočilu je priložen RAR arhiv, zaščiten z geslom, geslo pa je navedeno s samem sporočilu. Tako pošiljanje poročil vsekakor ni običajno, in to bi že moral biti prvi znak za večjo previdnost. S pošiljanjem zakriptanih priponk se namreč napadalec lahko izogne filtrom na poštnih strežnikih, ki ponavadi takih priponk ne znajo analizirati.

Če RAR arhiv razpakiramo, v njem najdemo eno samo datoteko, ki na prvi pogled izgleda kot PDF dokument (mimogrede, ikono izvršljive datoteke v Windows sistemih je zelo enostavno ponarediti):

Lažna pdf datoteka, v kateri se skriva virus
Posnetek zaslona, kjer vidimo lažno pdf datoteko z virusom

Če smo malce bolj pozorni, lahko opazimo neke neobičajnosti: v sistemu Windows XP je razvidna končnica datoteke SCR (če imamo v sistemu vklopljen prikaz vseh končnic), v sistemih Windows 7 in Vista pa je sicer razvidna končnica PDF, se pa na sami ikoni nahaja znak, ki prikazuje, da so za zagon datoteke potrebne administratorske pravice. Da gre dejansko za SCR datoteko, je razvidno šele iz ukazne lupine:

Šele ukazna lupina nam pokaže, da gre za SRC datoteko
Posnetek zaslona z ukazno lupino, kjer vidimo, da gre za SRC datoteko

Zakaj torej nekateri sistemi prikazujejo končnico .PDF, čeprav to ni? Analiza je pokazala, da ime datoteke vsebuje dodaten unicode znak 202E – “right-to-left-override”, ki je del podpore za prikaz pisav, ki se pišejo iz desne strani. Po vstavitvi tega znaka se vsi nadaljni znaki v programih, ki imajo unicode podporo, pišejo od desne proti levi:

Ime datoteke vsebuje dodaten unicode znak, da nam jo programi prikažejo kot pdf
Zaslon programa, ki nam prikaže, kako so goljufi nastavili lažno pdf končnico datoteke

SCR datoteka vsebuje izvršljivo programsko kodo. Če bi jo odprli, bi zelo verjetno okužili svoj sistem. V času analize datoteke jo je kot zlonamerno prepoznalo 5 od 42 antivirusov:

Datoteko je kot zlonamerno prepoznalo 5 antivirusnih programov
Pojavno okno, ki prikazuje, da je kot zlonamerno datoteko prepoznalo le 5 antivirusnih programov

Windows XP privzeto nima podpore za pisave, ki se pišejo iz desne strani, zato v privzeti konfiguraciji prikazuje pravilno končnico. Izkoriščanje te “funkcionalnosti” je tako trenutno mogoče v sistemih Windows 7 in Vista, ter v vseh programih, ki imajo podporo prikaza unicode pisav. Sam problem pa ni vezan zgolj na prikaz končnice datotek, ampak tudi npr. na zapis URL naslova. Katero spletno stran nam bo odprl Thunderbird?

Kam res pelje link?
Posnetek zaslona, ki prikazuje, da spletna povezava ne pelje na mesto, ki ga prikazuje link.

Vsebine, ki vam lahko pomagajo

Kaj lahko naredite
Kaj lahko naredite

Komentarji / 0

Pred objavo na portalu bo vaš komentar odobren s strani uredništva.
Preberite pravila komentiranja na portalu.
Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.