Lurigt med filändelser när nya knep maskerar filernas riktiga natur.

It-säkerhetsexperter på Avast Software varnar för ett nytt knep bland hackare som går ut på att dölja skadliga filer via maskerade filändelser i Windows, som gör att de liknar harmlösa bilder och dokument.

Tricket, som kallas Unitrix av it-säkerhetsföretaget, missbrukar unicode för språkversioner där texten läses från höger till vänster, som är fallet i vissa länder. Detta för att få körbara filer med ändelsen ”.exe” att visa upp ändelsen ”.jpg” eller ”.doc” istället.

Unicode är en industristandard som används för att representera text via alfanumeriska koder. Tricket använder den dolda koden U+202E, som ignorerar höger-till-vänster-tecken för att visa en körbar fil som någonting annat. Det kan utnyttjas för att maskera en skadlig fil som slutar med ”gpj.exe” att se ut som en ofarlig fil, till exempel ”Photo_D1827_Coll.exe.jpg”, där de sista sex tecknen visas i omvänd ordning.

– En vanlig användare tittar bara på filändelsen, till exempel .jpg för en bild. Det är det som är det farliga, varnar Jindrich Kubec, chef för Avasts forskningslab.

Den skadliga kod som använder knepet Unitrix, en trojanhämtande komponent, ökade i volym på nätet förra månaden. Som mest upptäcktes 25 000 instanser varje dag, rapporterar företaget.

Jindrich Kubec rekommenderar tillsvidare att misstänkta filer öppnas i en sandlådeskyddad miljö för de Windows-installationer som har höger-till-vänster-språk inställt. Som exempel på mjukvaror med funktioner för skyddade miljöer anger han Office 2010, som öppnar .doc-filer i en sandlåda.

Avast Software har även publicerat en mer teknisk beskrivning av Unitrix och hur angreppet går till (se länk).

IDG News