Hackers draaien bestandsnamen om, om zo “veilige” bestandsextensies te maken

Unicode-functie misbruikt om computers te besmetten op basis van betaling-per-installatie

PRAAG, Tsjechië, 7 september 2011 -- “Wat je ziet is niet wat je krijgt,” dankzij een nieuwe golf van malware die een speciale functie voor taalweergave misbruikt om mensen over te halen om een ogenschijnlijk “veilig” bestand te openen. De nieuwe uitbuiting misbruikt functies in Unicode – de standaard in de computerindustrie om tekst weer te geven – om uitvoerbare malware te vermommen als “veilige” bestanden met een .doc of .jpg extensie. AVAST Software-analisten hebben het de naam “Unitrix” gegeven.

De Unicode-functie is ontworpen om talen weer te geven die van rechts naar links worden geschreven, zoals Arabisch of Hebreeuws, en draait de tekst om zodat deze van rechts naar links wordt getoond nadat special verborgen codes zoals 0x202E (rechts-naar-links overschrijven) aan de bestandsnaam zijn toegevoegd. Het uitvoerbare malwarebestand bijvoorbeeld dat eindigt met “gpj.exe” wordt aan de ontvanger getoond als het onschuldiger klinkende “foto_D18727_Collexe.jpg”.


Bron: AVAST Viruslaboratorium

“De meeste gebruikers kijken naar de extensie aan het einde van de bestandsnaam, bijvoorbeeld jpg voor een foto. En daar ligt het gevaar,” zegt Jindrich Kubec, hoofd van het viruslaboratorium van AVAST. “De enige manier waarop een gebruiker erachter kan komen dat het om een uitvoerbaar bestand gaat, is als er extra details elders op zijn computer worden getoond of als er een waarschuwing verschijnt wanneer hij probeert het bestand uit te voeren.”

Het viruslaboratorium van AVAST heeft gedurende de maand augustus een gestage toename van het aantal detecties waargenomen, met een dagelijke piek boven de 25.000. “Uit de emailberichten en het verkeerspatroon is duidelijk op te maken dat het tegen bedrijven gericht is,” zegt dhr. Kubec. De aanvallen worden bijna geheel uitgevoerd tijdens de werkweek, gedurende het weekend valt het aantal dagelijke detecties terug tot onder de 5000.

Het meest voorkomende Unitrix-bestand is een malware-downloader met verbindingen naar verschillende URL-adressen die dan optreden als commando-en controlecentra. “Op basis van onze analyse van meer dan vijftig monsters, lijkt het deel uit te maken van een betaling-per-installatie-netwerk dat geïnfecteerde gebruikers een scala aan malware kan toesturen,” verklaart dhr. Kubec. Extra informatie over Unitrix is te vinden op de AVAST blog.

“Het is niet mogelijk om hiertegen een enkele universele en onfeilbare detectie te maken omdat dit zou leiden tot een groot aantal vals positieven, maar er zijn duidelijke manieren om hiermee om te gaan,” zegt dhr. Kubec. Hij wijst erop dat avast! Antivirus eindgebruikers op twee manieren worden beschermd:

  1. Eenvoudige detectie als een bestandsnaam die deze truc gebruikt met inkomende mail ontvangen wordt.
  2. In het bestandssysteem zal avast! automatisch voorstellen dat het verdachte bestand wordt geopend in de sandbox, een veilige gevirtualiseerde omgeving..

“Het probleem is dat het een Unicode-functie is. Hoewel de consequenties voor de veiligheid in de specificaties aangegeven werden, hebben mensen het toegepast zoals het ontworpen was en niemand bekommerde zich erom. Het is op andere viruslaboratoriumsites ook al vermeld, maar het is niet algemeen bekend,” zegt dhr. Kubec.

Uw browser is verouderd.

1. Op 8 april 2014 zet Microsoft de ondersteuning voor Internet Explorer in Windows XP stop. Dat betekent dat uw computer en gegevens, zoals creditcard- en onlinerekeninggegevens, een groter gevaar lopen door hackers en malware te worden aangevallen.

2. U kunt diverse andere browsers gebruiken, maar AVAST adviseert Chrome. We gebruiken het zelf ook, want volgens ons is het een van de veiligste browsers die er op dit moment zijn.