القراصنة يقلبون أسماء الملفات لإنشاء امتدادات ملفات "آمنة"

إساءة استخدام ميزة اليونيكود لإصابة أجهزة الحاسب معتمدين على أساس الدفع لكل تركيب

براغ ، جمهورية التشيك ، 7 أيلول/سبتمبر ، 2011 - "ما تراه ليس ما تحصل عليه " ، وذلك بفضل موجة جديدة من البرمجيات الخبيثة التي تسيء استخدام عرض الميزة اللغوية الخاصة لخداع المستخدمين في فتح ملفات يفترض أنها "آمنة". الجديد هو استغلال ميزات يونيكود - صناعة الحوسبة أساسية لتمثيل النصوص - القناع لتنفيذ البرامج الضارة وملفات "آمنة" مع امتدادات doc أو JPG... وقد أطلق عليها اسم "يونيتركس" من قبل محللي أفاست للبرمجيات .

تم تصميم ميزة اليونيكود لعرض الأبجديات مكتوب في المخطط من اليمين إلى اليسار مثل اللغة العربية أو العبرية ز يقلب النص المعروض بعد رموز خفية خاصة مثل 0x202E (تجاوز من اليمين إلى اليسار) تضاف إلى اسم الملف. على سبيل المثال ، يتم عرض الملف القابل للتنفيذ البرامج الضارة التي تنتهي بـ "gpj.exe" الى المتلقي بوصفه ملف نظيف "photo_D18727_Collexe.jpg".


المصدر : أفاست مختبر الفيروسات

"إن المستخدم العادي ينظر فقط في نهاية امتداد اسم الملف ، على سبيل المثال ، JPG للصورة. وهذا هو الخطر حيث هو "، وقال يندريخ كوبيتس ، رئيس مختبر الفيروسات بأفاست. "الطريقة الوحيدة التي يمكن للمستخدم معرفة أن هذا هو ملف قابل للتنفيذ إذا كان لديهم بعض التفاصيل الإضافية المعروضة في مكان آخر على أجهزة الحاسب الخاصة بهم أو إذا تلقوا تحذيراً عند محاولة تنفيذ الملف".

تعقب مختبر الفيروسات بأفاست الزيادة المطردة في عدد الفيروسات المكتشفة خلال شهر آب/أغسطس ، وبلغت ذروتها اليومية أكثر من 25،000. "من رسائل البريد الإلكتروني ونمط الحركة المرورية ، وتهدف بشكل واضح الشركات" ، قال يندريخ كوبيتس . تمت هذه الهجمات على وجه التحديد خلال أسبوع العمل ، مع إسقاط اكتشافات يومية 5000 في عطلة نهاية الأسبوع.

ملف يونيتركس الأكثر شيوعا هو تحميل البرامج الضارة مع وصلات إلى روابط عناوين التي تعمل عادة بعد ذلك من مركز التحكم . "استناداً الى تحليلاتنا أكثر من خمسين العينات ، ويبدو أن جزءا من شبكة الدفع لكل تركيب لديها القدرة على توجيه المستخدمين المصابين إلى مجموعة متنوعة من البرمجيات الخبيثة" ، وضح يندريخ كوبيتس. لمعرفة المزيد عن يونيتركس تجدها على مدونة أفاست .

"ليس من الممكن إجراء عالمي وحيد ، والكشف عن هذا المضمون لأن هذا من شأنه أن يخلق الكثير من ايجابيات الزائفة ، ولكن هناك طرق محددة للتعامل مع هذا" ، قال يندريخ كوبيتس. وأشار إلى أن مستخدمي مضاد الفيروسات أفاست! النهائيين محميين بطريقتين :

  1. كشف بسيطة عند يستخدم اسم الملف هذه الحيلة يظهر في البريد الوارد.
  2. ضمن ملف النظام ، فإن أفاست! يقترح أن يكون فتح ملف مشتبه به تلقائياٌ في صندوق الاختبارات، كبيئة افتراضية آمنة .

المشكلة هي أن هذه ميزة يونيكود. على الرغم من أنها ذكرت الآثار الأمنية المترتبة على هذا في المواصفات ، فإن المستخدم ينفذها كما تم تصميمها فقط ولا أحد يهتم بهذا. لقد ذكر ذلك في مواقع أخرى لمختبرات مضادات الفيروسات ولكنه ليس معروف على نطاق واسع "، قال يندريخ كوبيتس.

إن المتصفح الذي تستخدمه قديم.

1. في 8 نيسان/أبريل 2014، مايكروسوفت ستوقف دعم المتصفح إنترنت إكسبلورر الذي يعمل على نظام التشغيل ويندوز إكس بي. هذا سيضع جهازك الحاسب و بياناتك، مثل تفاصيل بطاقة الائتمان و الخدمات المصرفية عبر الإنترنت الخاصة بك، في أكبر خطر للمتسللين والبرامج الخبيثة.

2. هناك عدة بدائل متصفح موجودة، لكن هنا في أفاست نوصي باستخدام كروم، كما نجده أفضل الخيارات الأمنية المتاحة.