采用RLO控制符的逆名欺骗木马

刚才看到一种RLO控制符的逆名欺骗木马,非常有意思:该病毒在文件名中插入RLO控制符(注:RLO控制符是Unicode控制符的一种,用来显示中东文字,从右到左书写),使得字符显示从右至左的顺序,让病毒程序的真实后辍名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是.jpg、.txt、.rmvb的文件,就连经验丰富的IT技术人员也轻易被骗。

一般的防毒经验中,会推荐用户显示已知文件的扩展名,以查看文件的真实扩展名,避免被病毒程序的图标伪装欺骗。

但逆名欺骗木马,却完全利用了对文件扩展名(后辍名)的信任。

分析发现逆名欺骗木马的病毒文件名被人为插入了RLO控制符,使得文件名中的字符显示是从右到左,而中国用户的电脑显示字符是从左到右的。RLO控制符用来显示中东地区的某种文字。

用totalcmd观察可以看到真实扩展名

在Winrar中查看也和资源管理器一样,很容易被骗。

双击打开这个假“文本”文件,结果病毒会创建一个真的TXT文件继续蒙你。病毒作者骗术真是挺高明的。


「倘若有所帮助,不妨酌情赞赏!」

Holmesian

感谢您的支持!

使用微信扫描二维码完成支付

发表新评论
暂无评论
  1. Firm

    实在是太邪恶了这个确实太有才了……

    Firm 回复