木马的假面——新型木马利用文件名欺骗伪装

安全 黑客攻防
日前一种新型木马被截获,木马程序本身并不复杂,但病毒作者采用的欺骗手法却十分高明。

日前一种新型木马被截获,木马程序本身并不复杂,但病毒作者采用的欺骗手法却十分高明。

该病毒在文件名中插入RLO控制符(注:RLO控制符是Unicode控制符的一种,用来显示中东文字,从右到左书写),使得字符显示从右至左的顺序,让病毒程序的真实后辍名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是.jpg、.txt、.rmvb的文件,就连经验丰富的IT技术人员也轻易被骗。安全研究人员根据病毒的这个特点将其命名为逆名欺骗木马。

一般的防毒经验中,会推荐用户显示已知文件的扩展名,以查看文件的真实扩展名,避免被病毒程序的图标伪装欺骗。

以查看文件的真实扩展名,避免被病毒程序的图标伪装欺骗

但逆名欺骗木马,却完全利用了对文件扩展名(后辍名)的信任。

分析发现逆名欺骗木马的病毒文件名被人为插入了RLO控制符,使得文件名中的字符显示是从右到左,而中国用户的电脑显示字符是从左到右的。RLO控制符用来显示中东地区的某种文字。

RLO控制符用来显示中东地区的某种文字。

用totalcmd观察可以看到真实扩展名。

用totalcmd观察可以看到真实扩展名

在Winrar中查看也和资源管理器一样,很容易被骗。

在Winrar中查看也和资源管理器一样,很容易被骗。

双击打开这个假“文本”文件,结果病毒会创建一个真的TXT文件继续蒙你。病毒作者骗术真是挺高明的。

【编辑推荐】

  1. Qakbot传播像蠕虫 攻击像木马
  2. 揭开绑架型木马的“画皮”
  3. 剖析ZeuS木马如何安全躲避僵尸网络嗅侦
  4. “360U盘保护”木马泛滥 以安全名义威胁用户隐私数据
责任编辑:佟健 来源: 赛迪网
相关推荐

2009-10-29 18:28:50

伪装木马清除木马病毒

2009-11-09 09:52:01

2012-09-27 11:50:31

2011-03-14 10:19:43

2013-01-23 14:32:52

2015-03-10 13:39:22

2009-03-20 22:18:07

2009-02-18 09:11:47

2010-09-07 09:33:20

2009-04-15 10:49:01

木马释放器卡巴斯基

2011-12-12 17:07:43

2013-11-15 15:08:00

2013-12-25 09:59:48

2015-12-17 11:44:28

2015-03-09 14:27:58

2015-08-06 16:45:19

2010-09-09 23:14:45

2013-04-17 14:38:40

2010-12-30 13:29:13

2015-12-21 13:44:17

点赞
收藏

51CTO技术栈公众号