Na welivesecurity.com lze najít další informace o špionážním malware Quasar, Sobaken a Vermin, který působil na území Ukrajiny, mě ale zaujala jiná věc, na kterou může narazit kdokoliv z nás…
Nejde o žádnou žhavou novinku, ale zde jsem se o tomto ještě nezmínil a je to jeden z mnoha dalších způsobů, jak ošálit uživatele. Pokud si zapnete Word a v novém dokumentu postupně stiskněte klávesy 2, 0, 2, e a posléze stisknete kombinaci kláves ALT + X, Word vám od tohoto momentu začne cokoliv dalšího psát z pravé strany doleva. Právě znak s označením unicode U+202E (right-to-left override) se o toto dokáže postarat i v názvu souboru. Vy jako uživatel tak vidíte jiný název souboru, než jak ho vidí počítač. Resp. hodně záleží na přístupu konkrétní aplikace.
Prostě ideální nástroj pro útočníky!
Vy vidíte například nevinný název posledni_varovani_exekuce_scr.docx, zatímco počítač to zpracovává jako posledni_varovani_exekuce_docx.scr. Přitom pro počítač je stěžejní poslední přípona souboru, která je v tomto případě SCR. A ta je stejně dobře spustitelná jako přípona EXE.
Kouzlo spočívá v tom, že za posledním podtržítkem použil útočník magický znak U+202E a zbytek dopsal postupnými stisky kláves xcod.scr.
Pak už záleží na tom, jak název jednotlivé aplikace zobrazí. Například můj poštovní klient to zobrazí jako nevinně vypadající dokument, zatímco archivační program WinRAR na otočení směru upozorní šipkou.
Takhle to vidíte vy (dokument .DOCX), ale počítač to vidí jinak (spustitelný soubor .SCR)…
Takhle o otočení směru „varuje“ WinRAR – tj. vidíte to shodně jako když k tomu přistupuje počítač.
Přeji hezký víkend bez havěti!
Pod Win7 a vyšší se mi nedaří takový soubor spustit a i bez AV systém píše, že se zřejmě jedná o virus.