Windows 7 позволяет скрыть опасные файлы под видом безопасных

Напечатать страницу
06.05.2009 08:50 | deeper2k

Исследователи F-Secure обнаружили маленькую, но весьма неприятную ошибку в дизайне Windows 7, позволяющую замаскировать под видом безопасных файлов очень даже опасные исполняемые файлы.

По сути, ошибка перебирается из одной версии Windows в другую, поэтому ничего нового в ней нет. Я, откровенно говоря, даже не подумал о проверке ее присутствия в Windows 7 RC.

В Windows NT, 2000, XP и Vista Windows Explorer настроен таким образом, чтобы по умолчанию не отображать расширения к известным типам файлов. И любой вирусописатель может использовать это, что замаскировать исполняемый файл или скрипт под видом обычного текстового файла.
Фокус состоит в простом переименовании файла VIRUS.EXE в VIRUS.TXT.EXE или VIRUS.JPG.EXE. Windows при этом будет скрывать расширение, то есть .EXE.

Кроме того, вирусописатели могут заменить иконку внутри исполняемого файла на иконку текстового файла или изображения. В таком случае удастся обмануть любого пользователя.

По логике в Windows 7 такой трюк не должен сработать, но мы все же попробуем. Выглядит, как обычный текстовый файл:



А на деле является EXE-файлом:



Многие наши читатели заметят подвох, но среднестатистический пользователь не обратит внимания.

Вообще-то сама идея скрывать расширения файлов мне кажется неразумной, поэтому эта функция относится к разряду тех, которые после установки Windows я отключаю в первую очередь. Вместе с возможностью смены иконки для потенциально опасных файлов наподобие .EXE такой способ представляет серьезную угрозу для неопытных пользователей.

Что в данном случае должна сделать Microsoft? Можно просто отключить возможность скрывать расширения и добавить некую индикацию неподписанных исполняемых файлов.


Источник: http://blogs.zdnet.com/hardware
Перевод: deeper2k

Комментарии

Не в сети

угу я всегда включаю расширения первым делом

06.05.09 08:58
0
Не в сети

Даже при включении расширения обычного пользователю глубоко пофиг на это, он видит только иконку и полузнакомые слова.

06.05.09 09:04
0
Не в сети

По-моему было бы проще добавить в правила Windows Defender'а алерт на файлы с "двойным" расширением.

06.05.09 09:38
0
Не в сети

ASGDeveloper, может Вы не видели вордовских файлов, у которые в названии 5-6 точек?)

06.05.09 09:57
0
Не в сети

Очень интересно. Почему не пишут, что в Линуксе, МакОС и всех других юникс-системах эта "ошибка дизайна" присутсвует от рождения? Там вообще нет расширений, достаточно подставить нужную иконку испольняемому файлу и юзер сам запустит любой вирус.

06.05.09 10:26
0
Не в сети

судя по скриншоту осталось этот файл обозвать Notepad и бросить в папку Windows
тогда уже и профи затруднится запускать или нет данный файл

А по сути надо быть полным чайником чтобы запускать текстовый или графический документ у которого в описании написано что это приложение
надо туда UAC значки приклеивать ;) тогда может задумаются перед запуском таких файлов ?

06.05.09 11:29
0
Не в сети

Конечно тип файла Application ни о чем не говорит, да?)

06.05.09 11:49
0
Не в сети

А вот интересно, запуститься этот файл под обычным пользователем (не администратор) с включенным UAC на максимум? Если нет, то проблема собственно, решена. Не видел ни разу, чтобы текстовые файлы требовали повышения прав для прочтения.

06.05.09 12:18
0
Не в сети

Ну смотря что этот файл делает. Если читает инфу из HCKU и %USERPROFILE% то нет причин юаку возникать.

06.05.09 12:33
0
Не в сети

а мне насрать, у меня либо ЮАЦ включен, либо я ваще под юзером работаю, да и антивирус есть. офигеть атака. по-моему существует 1000 и 1 способ налогично заставить юзера запустить исполняемый файл.

06.05.09 21:09
0
Не в сети

Надо же! Ошибку нашли. Я в трауре, нищете и пригороде. ПО жизни это в винде было. А что штука это глупая и опасная полностью согласен.

08.05.09 01:50
0
Не в сети

Имхо, если и с отображаемыми расширениями пользователь не сможет отличить тхт от ехе, то ему за компом нечего делать! Плохая тенденция садиться необразованным юзверям за комп, необучившись работе с ним.

09.05.09 09:12
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
161.56 -0.09
Акции торгуются с 17:30 до 00:00 по Москве
Мы на Facebook
Мы ВКонтакте
В сервисе IPANN.NET купить прокси для SEO и SMM
Все права принадлежат © MSInsider.ru (ex TheVista.ru), 2019
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.19 секунд (Общее время SQL: 0.115 секунд - SQL запросов: 56 - Среднее время SQL: 0.00206 секунд))