Estaba leyendo acerca de una nueva familia de malware que puede propagarse tanto en Windows como en OS X. A parte de eso, me llamó también la atención que Janicab.A, como se conoce al troyano, también utiliza un viejo truco para engañar al usuario: el carácter especial Unicode U+202E conocido como una anulación de derecha a izquierda para hacer que el archivo malicioso aparezca como un documento PDF en lugar de un archivo ejecutable potencialmente peligroso.
Nada más fácil de realizarse. Por ejemplo, imagina que nuestro server es cmd.exe:
1. Abrimos el mapa de caracteres de Windows (inicio, ejecutar, charmap)
2. Buscamos y copiamos el carácter Unicode U+202E. Fijaros que en la parte inferior izquierda se muestra el valor ASCII de los caracteres.
3. Pegamos (Ctrl+V) el carácter justo antes del punto de la extensión: cmd[[Unicode U+202E]].exe
4. Escribimos la extensión que queremos pero al revés, por ejemplo, si queremos "doc" escribiremos "cod" o si queremos "pdf" escribiremos "fdp".
Y al final el resultado visual será cmdexe.doc:
Por último para "endulzar" el vector de infección simplemente tendríamos que cambiar el icono con reshack u otro y utilizar un nombre algo más disimulado teniendo en cuenta que el "exe" o la extensión original debe permanecer. Por ejemplo:
Nada más fácil de realizarse. Por ejemplo, imagina que nuestro server es cmd.exe:
1. Abrimos el mapa de caracteres de Windows (inicio, ejecutar, charmap)
2. Buscamos y copiamos el carácter Unicode U+202E. Fijaros que en la parte inferior izquierda se muestra el valor ASCII de los caracteres.
3. Pegamos (Ctrl+V) el carácter justo antes del punto de la extensión: cmd[[Unicode U+202E]].exe
4. Escribimos la extensión que queremos pero al revés, por ejemplo, si queremos "doc" escribiremos "cod" o si queremos "pdf" escribiremos "fdp".
Y al final el resultado visual será cmdexe.doc:
Por último para "endulzar" el vector de infección simplemente tendríamos que cambiar el icono con reshack u otro y utilizar un nombre algo más disimulado teniendo en cuenta que el "exe" o la extensión original debe permanecer. Por ejemplo:
vaya, muy interesante!! menudas risas me voy a pasar con esto XD
ResponderEliminarOtra razón más por lo que hay que usar las cabeceras para identificar a los archivos, y no sus extensiones.
ResponderEliminarA mi no me ha funcionado... ¿Podrías adjuntar el archivo, Vicente?
ResponderEliminarNo me funciono bajo Windows Xp Sp3 Spanish.
ResponderEliminarhey seguramente cambio el caracter exclamacion de cierre
ResponderEliminar