Bestandsextensies kunnen worden vervalst - dat bestand met de extensie .mp3 kan in feite een uitvoerbaar programma zijn. Hackers kunnen bestandsextensies vervalsen door een speciaal Unicode-teken te misbruiken, waardoor tekst in omgekeerde volgorde wordt weergegeven.
Windows verbergt ook standaard bestandsextensies, wat een andere manier is waarop beginnende gebruikers kunnen worden misleid - een bestand met een naam als picture.jpg.exe zal verschijnen als een onschadelijk JPEG-afbeeldingsbestand.
Bestandsextensies vermommen met de "Unitrix" Exploit
Als u Windows altijd vertelt om bestandsextensies weer te geven (zie hieronder) en er aandacht aan schenkt, denkt u misschien dat u veilig bent voor aan bestandsextensies gerelateerde shenanigans. Er zijn echter andere manieren waarop mensen de bestandsextensie kunnen verhullen.
Deze methode, door Avast de "Unitrix" -exploit genoemd nadat deze werd gebruikt door de Unitrix-malware, maakt gebruik van een speciaal teken in Unicode om de volgorde van de tekens in een bestandsnaam om te keren, waarbij de gevaarlijke bestandsextensie in het midden van de bestandsnaam wordt verborgen en het plaatsen van een onschuldig uitziende nep-bestandsextensie aan het einde van de bestandsnaam.
Het Unicode-teken is U + 202E: Right-to-Left Override, en het dwingt programma's om tekst in omgekeerde volgorde weer te geven. Hoewel het voor sommige doeleinden duidelijk nuttig is, zou het waarschijnlijk niet in bestandsnamen moeten worden ondersteund.
In wezen kan de werkelijke naam van het bestand zoiets zijn als "Awesome Song geüpload door [U+202e]3pm.SCR". Het speciale teken dwingt Windows om het einde van de bestandsnaam in omgekeerde volgorde weer te geven, zodat de bestandsnaam zal verschijnen als "Awesome Song geüpload door RCS.mp3". Het is echter geen MP3-bestand - het is een SCR-bestand en het wordt uitgevoerd als u erop dubbelklikt. (Zie hieronder voor meer soorten gevaarlijke bestandsextensies.)
Dit voorbeeld is afkomstig van een krakende site, omdat ik dacht dat het bijzonder misleidend was - houd de bestanden die u downloadt in de gaten!
Windows verbergt standaard bestandsextensies
De meeste gebruikers zijn getraind om niet-vertrouwde .exe-bestanden die van internet worden gedownload, niet te starten, aangezien deze schadelijk kunnen zijn. De meeste gebruikers weten ook dat sommige bestandstypen veilig zijn. Als u bijvoorbeeld een JPEG-afbeelding met de naam image.jpg heeft, kunt u erop dubbelklikken en deze wordt geopend in uw programma voor het bekijken van afbeeldingen zonder enig risico op infectie.
Er is slechts één probleem: Windows verbergt standaard bestandsextensies. Het image.jpg-bestand kan in feite image.jpg.exe zijn, en wanneer u erop dubbelklikt, start u het schadelijke .exe-bestand. Dit is een van de situaties waarin Gebruikersaccountbeheer kan helpen - malware kan nog steeds schade aanrichten zonder beheerdersrechten, maar kan uw hele systeem niet in gevaar brengen.
Erger nog, kwaadwillende personen kunnen elk gewenst pictogram instellen voor het .exe-bestand. Een bestand met de naam image.jpg.exe met het standaard afbeeldingspictogram ziet eruit als een onschadelijke afbeelding met de standaardinstellingen van Windows. Hoewel Windows u zal vertellen dat dit bestand een applicatie is als u goed kijkt, zullen veel gebruikers dit niet opmerken.
Bestandsextensies bekijken
Om u hiertegen te beschermen, kunt u bestandsextensies inschakelen in het venster Mapinstellingen van Windows Verkenner. Klik op de knop Organiseren in Windows Verkenner en selecteer Map- en zoekopties om het te openen.
Schakel het selectievakje uit Verberg extensies voor bekende bestandstypen selectievakje op het tabblad Weergave en klik op OK.
Alle bestandsextensies zijn nu zichtbaar, dus u ziet de verborgen .exe-bestandsextensie.
.exe is niet de enige gevaarlijke bestandsextensie
De .exe-bestandsextensie is niet de enige gevaarlijke bestandsextensie om op te letten. Bestanden die eindigen op deze bestandsextensies kunnen ook code op uw systeem uitvoeren, waardoor ze ook gevaarlijk worden:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Deze lijst is niet volledig. Als u bijvoorbeeld hebben Oracle's Java geïnstalleerd , kan de bestandsextensie .jar ook gevaarlijk zijn, omdat hiermee Java-programma's worden gestart.
