Home » Software » Ηλεκτρονική Ασφάλεια » Μολυσμένα Αρχεία - Πώς Μπορούν να "Καμουφλαριστούν"

Μολυσμένα Αρχεία – Πώς Μπορούν να “Καμουφλαριστούν”

Αυτός ο οδηγός γράφτηκε πριν από περισσότερα από 2 χρόνια. Η τεχνολογία αλλάζει και εξελίσσεται. Αν οτιδήποτε δεν σας λειτουργεί, γράψτε μας στα σχόλια και θα κοιτάξουμε να τον ανανεώσουμε.

Είστε σίγουροι πως το αρχείο mp3 που κατεβάζετε είναι ασφαλές για τον υπολογιστή σας? Κανονικά, αρχεία που δεν είναι εκτελέσιμα (αρχεία μουσικής, βίντεο, φωτογραφιών), δεν μπορούν να εκτελέσουν κακόβουλο κώδικα. Όμως, υπάρχει μία πολύ επικίνδυνη μέθοδος με την οποία μολυσμένα αρχεία που είναι εκτελέσιμα μπορούν να καμουφλαριστούν.

Δείτε τις ενότητες του οδηγού

Προτάσεις συνεργασίας

Προωθήστε δυναμικά την επιχείρησή σας στο site του PCsteps και στο κανάλι μας στο YouTube.

Επικοινωνία

Γίνε VIP μέλος στο PCSteps

Τα μέλη υποστηρίζουν ενεργά το PCsteps για να συνεχίσει να λειτουργεί χωρίς διαφημίσεις για όλους.

Συμμετοχή

Όπως είδαμε στον οδηγό για τις επεκτάσεις αρχείων, δεν πρέπει να τρέχουμε ποτέ αρχεία με επεκτάσεις .exe, .js, .vbs και μια σειρά άλλες επεκτάσεις, αν δεν είμαστε 100% σίγουροι για την προέλευσή τους.

Δυστυχώς, όμως, ακόμη κι αν ένα αρχείο έχει κάποια από τις “αθώες” επεκτάσεις (.mp3, .avi, .mkv, .jpg κλπ), υπάρχει πιθανότητα να μην είναι αυτό που φαίνεται.

Λύκος με προβιά αμνού

Ας υποθέσουμε πως κατεβάσαμε από κάποιο σκιώδες και ύποπτο site το τραγούδι “Just Like a Rolling Stone” του Bob Dylan, το οποίο ανακηρύχθηκε το καλύτερο τραγούδι όλων των εποχών από το περιοδικό Rolling Stone.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 11

(ύποπτη σύμπτωση, αν θέλετε τη γνώμη μου. Συν ότι στη δεύτερη θέση βρίσκεται το “(I Can't Get No) Satisfaction, των Rolling Stones)

Επειδή είμαστε προσεκτικοί χρήστες και έχουμε ρυθμίσει να εμφανίζονται οι επεκτάσεις αρχείων, είμαστε βέβαιοι πως δεν πρόκειται για κάποιο αρχείο .mp3.exe με αλλαγμένο εικονίδιο για να μας ξεγελάσει.

Κι όμως, το συγκεκριμένο αρχείο θα μπορούσε να είναι ένας ιός, ένα trojan, ένας keylogger που να αντιγράψει όλους μας τους κωδικούς, μέχρι και ένα Ransomware, εξίσου επικίνδυνο με το Cryptolocker.

Το αρχικό μολυσμένο αρχείο

Ας πούμε πως κάποιο κακόβουλο άτομο έχει γράψει τον πιο επικίνδυνο ιό απ' όλους, ξέρετε, αυτόν για τον οποίο μας προειδοποιεί συνεχώς η Microsoft, το CNN, μέχρι και η NASA.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 10

Έστω λοιπόν πως έχει γράψει τον συγκεκριμένο ιό με τη μορφή Visual Basic Script, με επέκταση .vbs.

Fun fact: Αυτό είναι ένα αληθινό σκριπτάκι vbs, εξίσου επικίνδυνο με τον ιό που ανοίγει ως ολυμπιακή φλόγα.

Τρέχοντας το αρχείο, εκτελείται ο κώδικας.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 04

Τώρα, όπως μας έχουν διδάξει περιστατικά όπως ο ιός του Facebook, αρκετοί χρήστες είναι δυστυχώς αρκετά ανίδεοι ώστε να τρέξουν μολυσμένα αρχεία έτσι άκριτα.

Κανένας όμως χρήστης που γνωρίζει ένα-δυο πράγματα δεν πρόκειται να τρέξει ένα τέτοιο αρχείο με το συγκεκριμένο εικονίδιο και τη συγκεκριμένη κατάληξη.

Ας ξεκινήσουμε αλλάζοντας το εικονίδιο.

Αλλαγή εικονιδίου

Η αλλαγή εικονιδίου είναι εξαιρετικά απλή.

Κατ' αρχάς, αν τα μολυσμένα αρχεία που θέλουμε να καμουφλάρουμε δεν είναι σε μορφή exe, είναι προς όφελός μας να τα μετατρέψουμε – θα εξηγήσουμε σε λίγο το γιατί.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 12

Στη συνέχεια, αρκεί να κατεβάσουμε και να εγκαταστήσουμε το πρόγραμμα IconChanger.

Κάνουμε δεξί κλικ στο αρχείο και επιλέγουμε το Change Icon…

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 13

Πηγαίνοντας στο φάκελο c:\windows\system32, αρκεί να βρούμε το εικονίδιο 2918, που στα Windows 8.1 είναι το εικονίδιο για τα Mp3.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 14

Κάνουμε κλικ στο “Set”.

Το πρόγραμμα θα μας ρωτήσει αν θέλουμε να ενσωματώσει το εικονίδιο μέσα στο αρχείο .exe.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 15

Αυτός είναι ο λόγος που μετατρέψαμε το αρχείο από VBS σε Exe. Είναι αδύνατον να αποθηκευτεί ένα συγκεκριμένο εικονίδιο σε ένα αρχείο VBS, ώστε να είναι το ίδιο σε κάθε υπολογιστή.

Πλέον, έχουμε ένα αρχείο .exe με το εικονίδιο του Mp3, και το αυθεντικό αρχείο σε backup.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 16

Παρ' ότι αλλάξαμε το εικονίδιο και το προσθέσαμε στον κώδικα, το εκτελέσιμο αρχείο λειτουργεί κανονικά.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 17

Για πολλούς χρήστες που έχουν κρυμμένες τις επεκτάσεις, ακόμα κι έτσι θα ήταν αρκετό.

Όμως είναι το επόμενο βήμα που κάνει τα μολυσμένα αρχεία πραγματικά επικίνδυνα.

Αλλαγή επέκτασης

Η επέκταση είναι εξαιρετικά σημαντική στα Windows.

Κανένα πρόγραμμα δεν θα μπορούσε να αλλάξει την επέκταση σε εκτελέσιμα μολυσμένα αρχεία και να διατηρήσει τη λειτουργικότητά τους.

Όμως, δεν θα χρειαστεί κανένα πρόγραμμα για αυτό. Αρκεί η ίδια η γραμματοσειρά Unicode.

Αρχικά μετονομάζουμε το αρχείο σε “Bob Dylan – Like a Rolling Stone – RARE LIVE RECORDING – Team H3pm.EXE”

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 18

Το όνομα μπορεί να είναι κυριολεκτικά ό,τι θέλουμε, αλλά φροντίζουμε οπωσδήποτε ακριβώς πριν την τελεία να έχουμε το 3pm. Και είναι επίσης καλή ιδέα να έχουμε την επέκταση με κεφαλαία.

Στη συνέχεια, και πριν ολοκληρώσουμε τη μετονομασία, κάνουμε δεξί κλικ ακριβώς ανάμεσα στο Η και το 3, και επιλέγουμε από το μενού “Εισαγωγή χαρακτήρων ελέγχου Unicode”…

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 19

…και στη συνέχεια “ΥΔΑ Έναρξη υπερκάλυψης από δεξιά προς τα αριστερά”.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 20

Η συγκεκριμένη επιλογή εισάγει έναν αόρατο χαρακτήρα, ο οποίος κάνει το κείμενο που τον ακολουθεί να εμφανίζεται αντεστραμμένο (διατηρώντας όμως την αρχική λειτουργικότητά του).

Η λειτουργία αυτή έχει να κάνει με γλώσσες που διαβάζονται από δεξιά προς τα αριστερά, όπως τα Αραβικά.

Έτσι, το -H3pm.EXE γίνεται -HEXE.mp3

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 11

Τέτοιου είδους μολυσμένα αρχεία, δεν πρόκειται να ανοίξει κανένας media player. Το μόνο που θα ανοίξει είναι ο ιός, ως ολυμπιακή φλόγα.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 21

Προφανώς, ένας πραγματικός ιός δεν θα βγάλει κανένα μήνυμα.

Απλά θα νομίζουμε πως το αρχείο δεν κατέβηκε καλά, θα το διαγράψουμε, και παράλληλα ο κώδικας θα έχει ήδη εισβάλλει στο σύστημά μας, έτοιμος για οτιδήποτε.

Πώς μπορούμε να προφυλαχτούμε από τα μολυσμένα αρχεία

Αυτό το κόλπο δεν πρόκειται να ξεγελάσει ένα antivirus. Η αλλαγή στο όνομα είναι καθαρά αισθητική.

Αν όμως πρόκειται για κάποιον ιό τον οποίο δεν αναγνωρίζει το antivirus, ένας εύκολος τρόπος να βεβαιωθούμε είναι να δοκιμάσουμε να κάνουμε μετονομασία στο αρχείο.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 23

Στα μολυσμένα αρχεία που έχουν υιοθετήσει αυτή τη μέθοδο, θα δημιουργηθεί αυτό το φαινόμενο, καθώς στα Windows 7 και 8  δεν μαρκάρεται η επέκταση μαζί με το όνομα του αρχείου.

μολυσμένα αρχεία - πώς μπορούν να καμουφλαριστούν 22

Η μέθοδος της μετονομασίας δεν πρόκειται πάντως να λειτουργήσει στα Windows XP.

Κυκλοφορούν πολλά τέτοια μολυσμένα αρχεία?

Η συγκεκριμένη μέθοδος δεν είναι ιδιαίτερα συνηθισμένη.

Οι περισσότεροι δημιουργοί malware αρκούνται στην άγνοια του κόσμου, και τους χρήστες που θα τρέξουν οτιδήποτε, χωρίς να το πολυσκεφτούν.

Σε κάθε περίπτωση, το καλύτερο Antivirus είναι αυτό που βρίσκεται ανάμεσα στα αυτιά μας. Μαζί με ένα ενημερωμένο antivirus στον υπολογιστή, φυσικά.

Τα σχόλια του PCsteps έχουν μεταφερθεί στο Questions.pcsteps.gr. Αν έχετε απορίες για τη δημοσίευση ή οποιαδήποτε τεχνολογική ερώτηση, από προτάσεις αγορών μέχρι τεχνικά προβλήματα, γράψτε μας εκεί. Απαντάμε το αργότερο εντός 48 ωρών.

Οι Στήλες του PCsteps

featured SALE ALERT 18 ΝΟΕΜΒΡΗ_x4Βb
Οδηγοί Αγοράς
QuickSteps#354 - Τείχος Προστασίας Windows 11, Παραποίηση Τοποθεσίας Chrome, Αύξηση Μεγέθους Εικόνων
QuickSteps
GamingSteps#20241123 - Final Fantasy XIV Mobile, Υποψηφιότητες The Game Awards ‘24, Νικητές Golden Joystick Awards
GamingSteps