Phần mở rộng tệp có thể bị làm giả - tệp có phần mở rộng .mp3 thực sự có thể là một chương trình thực thi. Tin tặc có thể giả mạo phần mở rộng tệp bằng cách lạm dụng ký tự Unicode đặc biệt, buộc văn bản được hiển thị theo thứ tự ngược lại.
Windows cũng ẩn phần mở rộng tệp theo mặc định, đây là một cách khác để người dùng mới làm quen có thể bị đánh lừa - tệp có tên như picture.jpg.exe sẽ xuất hiện dưới dạng tệp ảnh JPEG vô hại.
Ngụy trang phần mở rộng tệp với khai thác "Unitrix"
Nếu bạn luôn yêu cầu Windows hiển thị phần mở rộng tệp (xem bên dưới) và chú ý đến chúng, bạn có thể nghĩ rằng mình đang an toàn trước những trò tai quái liên quan đến phần mở rộng tệp. Tuy nhiên, có những cách khác mọi người có thể ngụy trang phần mở rộng tệp.
Được đặt tên là khai thác “Unitrix” của Avast sau khi nó được sử dụng bởi phần mềm độc hại Unitrix, phương pháp này lợi dụng một ký tự đặc biệt trong Unicode để đảo ngược thứ tự của các ký tự trong tên tệp, ẩn phần mở rộng tệp nguy hiểm ở giữa tên tệp. và đặt một phần mở rộng tệp giả mạo trông vô hại ở gần cuối tên tệp.
Ký tự Unicode là U + 202E: Ghi đè từ phải sang trái và nó buộc các chương trình hiển thị văn bản theo thứ tự ngược lại. Mặc dù nó rõ ràng hữu ích cho một số mục đích, nhưng nó có thể không được hỗ trợ trong tên tệp.
Về cơ bản, tên thực của tệp có thể là “Bài hát tuyệt vời được tải lên bởi [U+202e]3pm.SCR”. Ký tự đặc biệt buộc Windows phải hiển thị ngược lại phần cuối của tên tệp, do đó, tên của tệp sẽ xuất hiện dưới dạng “Bài hát tuyệt vời được tải lên bởi RCS.mp3”. Tuy nhiên, đó không phải là tệp MP3 - đó là tệp SCR và nó sẽ được thực thi nếu bạn nhấp đúp vào tệp. (Xem bên dưới để biết thêm các loại phần mở rộng tệp nguy hiểm.)
Ví dụ này được lấy từ một trang web bẻ khóa, theo tôi nghĩ nó đặc biệt lừa đảo - hãy để ý đến các tệp bạn tải xuống!
Windows ẩn phần mở rộng tệp theo mặc định
Hầu hết người dùng đã được đào tạo để không khởi chạy các tệp .exe không đáng tin cậy tải xuống từ Internet vì chúng có thể độc hại. Hầu hết người dùng cũng biết rằng một số loại tệp là an toàn - ví dụ: nếu bạn có một ảnh JPEG có tên là image.jpg, bạn có thể nhấp đúp vào nó và nó sẽ mở trong chương trình xem ảnh của bạn mà không có nguy cơ bị nhiễm.
Chỉ có một vấn đề - Windows ẩn phần mở rộng tệp theo mặc định. Tệp image.jpg thực sự có thể là image.jpg.exe và khi bạn nhấp đúp vào tệp đó, bạn sẽ khởi chạy tệp .exe độc hại. Đây là một trong những tình huống mà Kiểm soát tài khoản người dùng có thể giúp - phần mềm độc hại vẫn có thể gây thiệt hại mà không có quyền của quản trị viên, nhưng sẽ không thể xâm phạm toàn bộ hệ thống của bạn.
Tệ hơn nữa, các cá nhân độc hại có thể đặt bất kỳ biểu tượng nào họ muốn cho tệp .exe. Tệp có tên image.jpg.exe sử dụng biểu tượng hình ảnh chuẩn sẽ trông giống như một hình ảnh vô hại với cài đặt mặc định của Windows. Mặc dù Windows sẽ cho bạn biết rằng tệp này là một ứng dụng nếu bạn quan sát kỹ, nhưng nhiều người dùng sẽ không nhận thấy điều này.
Xem phần mở rộng tệp
Để giúp bảo vệ khỏi điều này, bạn có thể bật phần mở rộng tệp trong cửa sổ Cài đặt thư mục của Windows Explorer. Nhấp vào nút Sắp xếp trong Windows Explorer và chọn Tùy chọn thư mục và tìm kiếm mở nó ra.
Bỏ chọn Ẩn phần tên mở rộng đối với những loại file mà hệ thống đã biết trên tab Xem và bấm OK.
Giờ đây, tất cả các phần mở rộng tệp sẽ hiển thị, vì vậy bạn sẽ thấy phần mở rộng tệp .exe ẩn.
.exe không phải là phần mở rộng tệp nguy hiểm duy nhất
Phần mở rộng tệp .exe không phải là phần mở rộng tệp nguy hiểm duy nhất cần chú ý. Các tệp kết thúc bằng các phần mở rộng tệp này cũng có thể chạy mã trên hệ thống của bạn, khiến chúng cũng nguy hiểm:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Danh sách này không đầy đủ. Ví dụ, nếu bạn đã cài đặt Java của Oracle , phần mở rộng tệp .jar cũng có thể nguy hiểm, vì nó sẽ khởi chạy các chương trình Java.
