Приветствую всех, кто оказался в этой статье - не важно, подписчик ты или нет, но сегодня я хочу разобрать тему воровства данных с помощью картинки, видео или иного трека.
Если вы думаете, что картинка будет иметь вид "Без имени-1.exe", то вы ошибаетесь. Это будет ничем не примечательный "Позвони лехе.png".
Сегодня я расскажу как такое создается, чтобы понять как приложение приобретает вид .png/.jpg/.mp3, и делает так, чтобы не было заметно открывание самого приложения, да и сама картинка открылась. На основе этого можно будет подвести выводы и обезопасить себя от такого.
В последнее время я стал заметил, что участились случаи воровства данных таким способом, хоть он и не новый
А основная проблема в том, что такую "картинку" может создать любой школьник. Для этого никакой софт кроме WinRar не потребуется...
Как это создают, на чем построена уязвимость?
Нижеперечисленная информация написана лишь в образовательных целях, я не показываю как создать вирус, а просто рассказываю как это делают злоумышленники, и как не попасться на такое. Автор не несет ответственности за Ваши действия.
Сам вирус может быть абсолютно любой, но чтобы после открытия файла также открылась и картинка, создается самораспаковывающийся архив с самой картинкой и собственно вирусом.
Winrar или другие архиваторы умеют создавать самораспаковывающиеся архивы. Это некие программы с расширением *.exe, которые разархивируются в нужную папку. Также там есть функция скрытия всех окон и автоматического запуска файла из архива. Да, некоторые антивирусы ругаются на такое, но их немного - всего 13/70 (респект Windows Defender).
Само собой у файла иконка, как у картинки
Но такой файл мало кто откроет, ведь многих смутит *.ехе у картинки.
Однако уже давно в Windows есть некая "уязвимость" с видимым расширением файла. Из-за нее exe файл может отображаться и как png, и как jpg, и как mp3...
Она связанна с полной поддержкой арабского языка в Windows. А он пишется не слева направо, а справа налево.
И сама "уязвимость" заключается в том, что после названия файла пишут будущее расширение файла, но наоборот
Например: filegnp.exe (для будущего png)
И перед написанным наоборот название файла нажимают ПКМ, Вставить управляющий символ Юникода, RLO
Если изменения не сработали - требуется обновить рабочий стол.
И все! Теперь есть "png" файл!
Как распознать?
Во-первых
Если открыть свойства, там "Приложение" никуда не спрячешь
Во-вторых
Т.к. там самораспаковывающийся архив, с вирусом пустышкой (2 кб) - файл будет весить примерно на 7-12 мб больше картинки. А картинка на 16 мб не внушает доверия
В-третьих
Проблемы с переименованием.
Т.к. мы смешали слева-направо, и справа-налево, возникнут "странности" с выделением имени
В-четвертых
В проводнике, если включен столбец "Тип" "картинка станет определяться как приложение"
В-пятых
Все же не стоит слепо доверять файлам скачанным из подозрительного источника, на "пиратском", непроверенном сайте или по подозрительной ссылке с Яндекс/гугл диска или других файлообменников.
А на этом все! Пишите в комментариях свое мнение, ставьте лайк, и подписывайтесь на канал!
Буду рад, если напишите идею для следующей статьи :)