فایل‌ها می‌توانند پسوند جعلی داشته باشند. برای مثال فایلی که پسوندش mp3 است احتمال دارد یک برنامه اجرایی باشد. فرد نفوذگر یا هکر می‌تواند با استفاده از حروف یونیکد خاصی، پسوند فایل‌ها را جعل کند.

سیستم عامل ویندوز هم بصورت پیشفرض پسوند فایل‌ها را مخفی می‌کند; این می‌تواند راهی برای فریب دادن اشخاص مبتدی باشد. برای نمونه فایلی مانند picture.jpg.exe بصورت یک فایل معمولی JPEG به نظر برسد.

در ادامه به روش‌های رایج پنهان کردن برنامه‌های مخرب با پسوند جعلی و راه‌های شناسایی فایل‌های مخرب می‌پردازیم.

چگونه هکرها می‌توانند برنامه‌ مخرب را با پسوند جعلی پنهان کنند؟

جعل یا پنهان کردن پسوند فایل با اکسپلویت Unitrix

اگر در سیستم عامل ویندوز تنظیمات را به گونه‌ای تغییر داده‌اید که همیشه پسوند فایل‌ها را نمایش دهد، و همیشه به فایل‌‌‌ها و پسوندشان دقت می‌کنید، ممکن است گمان ببرید که از خطر فایل‌های مخرب که با جعل پسوند در ارتباط هستند در امان هستید.  اما راه‌های دیگری نیز وجود دارند که هکرها با کمک آنها پسوند فایل‌ها را جعل می‌کنند.

یکی از این راهها استفاده از اکسپلویت Unitrix است. در این روش می‌توان با استفاده از کاراکترهای خاصی در یونیکد، ترتیب حروف در نام فایل را برعکس می‌کند، بطوریکه پسوند فایل مخرب در وسط نام فایل مخفی می‌ماند و پسوند جعلی در انتهای نام فایل قرار می‌گیرد.

به این مثال توجه کنید: فایل Awesome Song uploaded by [U+202e]3pm.SCR در سیستم عامل ویندوز به صورت Awesome Song  uploaded by RCS.mp3 ظاهر می‌شود. در واقع کاراکترهای خاص باعث می‌شوند که ترتیب حروف برعکس شود. در هر حال این فایل به ظاهر mp3، یک فایل اجرایی با پسوند SCR است و اگر روی آن کلیک کنیم اجرا خواهد شد.

سیستم عامل ویندوز پسوند فایل‌ها را بصورت پیشفرض مخفی می‌کند

بیشتر کاربران اینترنت آموزش دیده‌‌اند که فایل‌های exe یا اجرایی که از اینترنت دانلود کرده‌اند را اجرا نکنند، زیرا ممکن است برنامه‌های مخرب باشند. همچنین بیشتر کاربران پسوند های قابل اعتماد را می‌شناسند. برای مثال پسوند JPEG را به عنوان فایل تصویری می‌شناسند. و می‌دانند اگر روی فایل Image.jpg دوبار کلیک کنند، آن فایل در برنامه نمایش تصاویر باز می‌شود.

سیستم عامل ویندوز به صورت پیشفرض، پسوند فایل‌ها را مخفی می‌کند. فایل  image.jpg ممکن است در واقع image.jpg.exe باشد و با دو بار کلیک کردن روی آن، یک فایل اجرایی مخرب اجرا شود. در این شرایط کنترل حساب کاربری ویندوز می‌تواند شدت آسیب وارد شده را کاهش دهد. در مطلب ۹ قدم جهت حفظ امنیت در سیستم عامل ویندوز اشاره کردیم که همیشه با حساب کاربری مدیریت Login نکنید. هر چند برخی نرم‌افزارهای مخرب بدون دسترسی مدیریت هم می‌توانند آثار مخرب داشته باشند، اما قادر نخواهند بود به کل سیستم آسیب وارد کنند.

بدتر از این، خرابکارها می‌توانند هر آیکنی را برای فایل‌های اجرایی خود قرار دهند. فایل  image.jpg.exe دقیقا با همان آیکن رایج تصویر نشان داده می‌شود. در حالی که اگر دقیق باشید، سیستم عاملتان به شما می‌گوید که این یک فایل کاربردی است.

راههای شناسایی فایل‌های‌ مخرب

در سیستم عامل ویندوز تنظیمات Folder را به گونه‌ای تنظیم کنید که پسوند فایل‌ها را همیشه نمایش دهد. در پنجره‌ ویندوز روی Organize کلیک کنید و Folder and search options را انتخاب کنید.

سپس تیک گزینه Hide extensions for known file types را بردارید و روی OK کلیک کنید.

اکنون پسوند تمام‌ فایل‌ها نشان داده می‌شود.

نکته مهم دیگر این است که پسوند exe تنها پسوند مخرب نیست. به پسوندهای زیر نگاهی بیندازید، تمام این‌ها می‌توانند روی سیستمتان کدهایی را اجرا کنند. و این کد‌ها می‌توانند مخرب باشند.

[box type=”note”].bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh[/box]

توجه داشته باشید که این لیست کامل نیست و فقط نمونه‌ای از فایل‌های اجرایی هستند که می‌توانند کدهای مخرب را در سیستم شما اجرا کنند.

در انتها یادآوری می‌کنیم که برای اطمینان و امنیت بیشتر، بهتر است از منبع‌های غیر قابل اعتماد فایل دریافت نکنید.

منبع