Rückwärts-Lesetrick: Malware überlistet Explorer

Malware-Schreiber nutzen jede Möglichkeit, um Computer-Nutzer auszutricksen. Auf den Rückwärts-Lesetrick muss man aber erstmal kommen. Der Clou dabei ist, dass nicht in allen Sprachen von links nach rechts gelesen wird. Es geht auch von rechts nach links, was sowohl Zeichensätze wie auch Windows selbst unterstützen. Im Unicode-Zeichensatz gibt es einen eigenen Parameter, der die Leserichtung festlegt, [U+202E]. Hier setzen aktuelle Schädlinge an.

Aus EXE wird DOC
So nennt sich eine Exe-Datei in der aktueller Malware Bredolab beispielsweise "CORP_INVOICE_08.14.2011_Pr.phyl[U+202E]cod.exe". Sieht verdächtig aus, man nuss aber beachten, dass mitten in den Dateinamen der besagte Parameter eingeschmuggelt ist, der die Leserichtung aller Zeichen rechts von ihm umkehrt. Für den Explorer ist der Parameter ein Steuerzeichen, das er dem Nutzer nicht anzeigt. Die letzten sieben Zeichen des Dateinamens werden zu "exe.doc". Der Windows Explorer erkennt jetzt die Endung DOC und verknüpft die Datei automatisch mit Word. In der Ansicht prangt dann vor dem Dateinamen "CORP_INVOICE_08.14.2011_Pr.phylexe.doc" ein Word-Icon, obwohl es sich eigentlich um eine Exe-Datei handelt.



chip.de Quelle

oh sowas gibt es auch, das wird ja immer schlimmer mit der Maleware