Способ выдачи *.exe файла за картинку *.jpg

Способ выдачи *.exe файла за картинку *.jpg

Телеграм канал "Не баг, а фича!" - https://t.me/bugfeature

Как думаете, увидев картинки ниже вы бы что-то в них заподозрили? Или просто открыли бы картинки чтобы полюбоваться милыми котятами?

Если бы вы ничего не заподозрили и просто дважды кликнули по первой фото, то, в данном случае, появилось бы следующее окно.

Дело в том, что картинка "Смешной котик хехе.jpg" на самом деле является исполняемым *.exe файлом у которого заменена стандартная иконка на картинку. В этом можно убедиться изменив отображение файлов на "Таблица".

Но почему же расширение файла ".jpg"? Дело в том, что настоящее название файла - "Смешной котенок х<RLO>gpj.exe", где <RLO> - управляющий символ Unicode - "RIGHT-TO-LEFT OVERRIDE" или 202Е. Суть данного символа в том, что он отображает зеркально все символы, которые идут после него.

В нашем случае произошла замена "gpj.exe" на "exe.jpg", но замена порядка символов в названии файла не изменила сам файл. В связи с чем, нам показалось что мы открываем картинку, а на самом деле запустили исполняемый файл.


Интересно узнать как злоумышленники производят такую замену?

Продемонстрирую на примере выше:

  1. Щелчок ПКМ(правой кнопкой мыши) по файлу.
  2. "Переименовать".
  3. Щелчок ПКМ перед первым символ строки, которую хотим "отзеркалить". В нашем случае перед "gpj.exe".

4. "Вставить управляющий символ Юникода".

5. "RLO | Начать отмену справа налево".

В результате получаем название файла меняется на "Cмешные котики хехе.jpg".


Если статья была вам полезна, то лучшей благодарностью будет подписка на канал в телеграмм "Не баг, а фича!" https://t.me/bugfeature