Скрытый потенциал символов в формате Unicode на службе у хакеров
Несколько дней назад один из клиентов антивирусной лаборатори Microsoft Malware Protection Center предоставил интересный образец вредоносного файла (хешсумма SHA1:fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как троян TrojanDropper:Win32/Vundo.L), специально разработанного хакерами для кражи учетных данных пользователей таких социальных сетей как Вконтакте.ру и перенаправляющая посетителей на 92.38.209.252, но весьма необычным способом.
Наиболее распространенным способом взламывать сайты является проникновение в систему и внедрение файла, содержащего алгоритмы взлома, в корневой каталог/system32/drivers. Однако, когда на зараженном компьютере вы открываете эти файлы, в них нет никаких ссылок на сайты “vk.com” и “vkontakte.ru”.
Но когда мы показываем скрытые файлы, мы можем видеть другой файл "hosts". Он скрытый, как в следующем примере:
Есть два файла с точно тем же самым именем, "hosts", в папке etc! Как это могло произойти?
Как мы знаем, каталог не может содержать два файла с тем же самым именем. Когда мы копируем имена файлов в блокнот, сохраняем их как текстовый файл в формате Unicode и открываем их с HEX-редактором, мы видим следующее (верхнее для первого файла "hosts", ниже для второго файла "hosts"):
Для кодовой таблицы Unicode (UTF-16), символ 0x006F выглядит точно так же как 0x6F в таблице ASCII, и представляет собой латинский символ “o”. Но где находится 0x043E в Unicode? Вот перед вами соответствующий диапазон таблицы 0400-04FF.
Как мы можем заметить, Unicode 0x043E представляет собой кириллический символ , и чем-то напоминает английское "о".
Итак, скрытый файл "host" является настоящим host файлом, при открытии которого можно увидеть две строчки расположенные в самом конце файла.
Найден ключ к разрешению тайны!
Это не первый раз когда злоумышленники использовали скрытый потенциал символов в формате Unicode для обмана людей. В августе китайский хакер раскрыл еще один способ введения пользователей в заблуждение и принуждения их к запуску исполняемого вредоносного файла. Например, перед вами файл “picgpj.exe”.
“gpj.exe” — часть названия файла специальным образом модифицирована при помощи вставленного перед ней RLO-символа (он переопределяет направление чтения текста на "справа-налево"), мы получаем удивительную картину:
Хакеры также для создания полной иллюзии специальным подменяют образом иконку исполняемого файла. Не знающие люди принимают их за файлы с изображением и, не задумываясь о последствиях, открывают их. Для большинства программ такие трюки с Unicode-символами проходят безболезненно, в отличие от глаз обычных пользователей, когда свою роль играет социальная инженерия и человеческий фактор.