Хакеры зеркально отражают имена файлов, создавая "безопасные" расширения файлов

ПРАГА, Чешская Республика, 9 сентября 2011- “Что Вы видите это не то, что Вы получаете”, - новая волна вредоносного программного обеспечения, которое неправильно использует специальную функцию отображения текста, позволяет обмануть людей при открытии предположительно "безопасных" файлов. Происходит подмен символов Unicode (стандарта вычислительной отрасли представления не латинского текста, например, русского, арабского или иврита) - представляя "безопасные" файлы с расширениями файлов .doc или.jpg. Антивирусная лаборатория AVAST Software классифицировала этот тип вредоносных программ как "Unitrix".

Например, исполняемый файл вредоносного программного обеспечения, заканчивающийся “gpj.exe”, выводится на экран получателю как более невинное звучание “photo_D18727_Collexe.jpg”.


Ресурс: Антивирусная лаборатория AVAST

“Обычный пользователь смотрит только на расширение в самом конце имени файла, например jpg для фотографии. И это то, где кроется опасность”.- говорит Йндрих Кубец, глава антивирусной лаборатории avast!. “Теперь единственным способом определения исполняемый это файл или нет является предупреждение программ безопасности о том, что Вы пытаетесь запустить программу неизвестного происхождения”.

Компания AVAST Software отследила устойчивое увеличение детекта в течение августа 2011 года, с ежедневным пиком более чем 25 000 обнаружений. “Из электронных писем и анализа трафика становится ясным, что пытаются заразить организации, а не домашних клиентов”.-говорит г-н Кубец. Атаки почти всегда делаются в течении рабочей недели и опускаются до отметки в 5 000 в выходные дни.

“Невозможно сделать единственное универсальное решение для надежного обнаружения данного вредоноса, так как будет большое количество ложных срабатываний, но есть определенные способы бороться с ним”.- сказал г-н Кубек. Дополнительную информацию об Unitrix information вы найдете на AVAST блоге.

Пользователи Avast могут защищититься двумя способами:

  1. Обнаружение антивирусом, благодаря сканированию входящей почты.
  2. В пределах файловой системы требуется запускать файлы неизвестного происхождения через песочницу (Sandbox).

Проблема состоит в том, что это - "заводская" функциональность Unicode. Хоть об этой "дыре безопасности" международного стандарта давно известно, но пока ещё ничего не сделано для её исправления. Обратите внимание на эту угрозу, так как информации об этом практически нет у других разработчиков антивирусов.