Gli hacker capovolgono I nomi dei file per creare estensioni dei file “sicure”

Abusate le funzioni Unicode per infettare computer sulla base di pagmento-per-installazione

PRAGA, Repubblica Ceca, 7 settembre 2011 -- “Quello che vedi non è quello che ricevi,” grazie alla nuova ondata di malware che abusano di una caratteristica di visualizzazione speciale di linguaggio per ingannare la gente nell’ aprire file ritenuti “sicuri”. Il nuovo sfruttamento di abusare dekke caratteristiche di Unicode – lo standard dell'industria informatica per rappresentare il testo - per mascherare il malware eseguibile come "sicuro" per i file con estensione .doc o .jpg. E 'stato chiamato "Unitrix" dagli analisti AVAST Software.

La funzione di Unicode è progettata per visualizzare alfabeti scritti da destra a sinistra come l'arabo o l'ebraico e capovolge il testo visualizzato usando speciali codici nascosti come 0x202E (sovrascrittura da destra a sinistra) che vengono aggiunti al nome del file. Per esempio, il file eseguibile del malware che termina con "gpj.exe" viene visualizzato al destinatario come il nome più innocente "photo_D18727_Collexe.jpg".


Fonte: AVAST Virus Lab

"L' utente tipico guarda l' estensione alla fine del nome del file, ad esempio, jpg per una foto. Ed è qui che c’è il pericolo ", ha detto Jindrich Kubec, capo del laboratorio dei virus di AVAST. "L' unico modo con cui un utente può sapere che questo è un file eseguibile è se ha alcuni dettagli aggiuntivi visualizzati altrove sul proprio computer o se un messaggio di avviso appare quando si cerca di eseguire il file".

L‘ AVAST Virus Lab ha notato un aumento costante del numero di rilevamenti nel mese di agosto, con un picco giornaliero di oltre 25.000. "Dai messaggi e-mail e dal modello di traffico, questo è chiaramente rivolto alle imprese", ha dichiarato Kubec. Gli attacchi sono avvenuti quasi esclusivamente durante la settimana lavorativa, con rilevazioni giornaliere scese sotto i 5.000 durante il fine settimana.

Il più comune file Unitrix è un downloader di malware con connessioni a diversi indirizzi URL che poi agisce come centro di comando e controllo. "Sulla base della nostra analisi di più di cinquanta campioni, sembra essere parte di una rete paga-per-installazione con la capacità di inviare agli utenti infettati una varietà di malware", spiega Mr. Kubec. Ulteriori informazioni Unitrix sono sul blog AVAST blog.

"Non è possibile fare un unico universale e infallibile rilevamento, perché questo creerebbe molti falsi positivi, ma ci sono modi definiti per affrontare questo problema", ha dichiarato Kubec. Egli ha sottolineato che gli utenti finali dell‘ antivirus avast! sono protetti in due modi:

  1. Semplice rilevamento quando il nome del file che usa questo trucco appare nella posta in arrivo.
  2. All' interno del file system avast! suggerisce automaticamente che il file sospetto debba essere aperto nella sandbox, un ambiente virtualizzato sicuro.

"Il problema è che questa è una funzionalità Unicode. Anche se loro citano le implicazioni di sicurezza di questo nelle specifiche, la gente l‘ ha implementato e a nessuno è importato di ciò. E 'stato detto in altri laboratori di antivirus, ma non è noto ", ha dichiarato Kubec.

Il tuo browser è obsoleto.

1. L' 8 Aprile 2014, Microsoft smette di supportate i browser Internet Explorer su Windows XP. Questo metterà il tuo computer e i tuoi dati, ad es. i dettagli della tua carta di credito o del banking online, fortemente a rischio di attacchi hacker o di malware.

2. Esistono molti browser alternativi, ma noi di AVAST utilizziamo e consigliamo Chrome, perchè secondo noi è l'opzione più sicura disponibile.