Caratteri speciali nel nome del file portano all'avvio del virus eseguibile [duplicato]

4

Quindi ho appena scaricato torrent con un file in esso - il nome formale del file dovrebbe essere "123.avi.exe" (che è tipico per virus e trojan). Ora, la cosa interessante è che il nome è codificato in UTF16-LE come segue:

FFFE3100320033002E002D202E202D202E206900760061002E00650078006500

che ci dà strani, parzialmente invertiti sul testo ".exe" (prova a spostare il cursore da sinistra a destra e sarai sorpreso):

123.‭‮‭‮iva.exe

Ma la parte peggiore di tutto - è quella utorrente che mostra un'estensione ".avi" non sospetta mentre quando si fa doppio clic nella GUI - si fa come ".exe" e le esecuzioni del programma.

Puoi testarlo tu stesso creando un file fittizio con il nome che ho scritto sopra. Un'altra cosa interessante: Total Commander impedisce l'esecuzione di tale file se il suo nome contiene questi caratteri speciali.

P.S. Ho avviato un simile thread su uTorrent tracker ( non ancora approvato dal moderatore)

    
posta Alek Depler 09.05.2017 - 08:54
fonte

1 risposta

12

Il trucco è il carattere di override da destra a sinistra . Lingue come l'arabo scrivono da destra a sinistra invece che da sinistra a destra. Per incorporare il testo in una stringa, puoi cambiare la direzione del testo e questo può aiutare a nascondere l'estensione reale.

helloworld.<RLO>cod.exe

verrà visualizzato come

helloworld.exe.doc

perché la parte dopo il carattere RLO è invertita.

    
risposta data 09.05.2017 - 09:00
fonte

Leggi altre domande sui tag