Расширения-невидимки

Правила гигиены

добавить в избранное

Расширения-невидимки

Прочитали: 5948 Комментариев: 65 Рейтинг: 118

30 августа 2017

Помимо автозапуска и использования скрытых файлов для распространения вредоносных программ на сменных носителях злоумышленники применяют и социальную инженерию. Например, исходя из того, что в Windows расширения файлов, указывающие на их тип, по умолчанию не отображаются.

Скажем, стоит ли опасаться файла «котик.jpg»? Еще как, потому что на самом деле он может называться «котик.jpg.exe» – а это, согласитесь, многое меняет.

Очередной вирус посетил один из наших офисов.

Зараженный неким вирусом ПК создает на флешке файл с названием «Новая папка.exe».

А так как расширения файлов обычно в проводнике виндовс не отображаются, то пользователь видит просто «Новая папка», да еще и с обычным значком папки:

Но на самом деле это никакая не папка, а файл. Убедиться в этом легко, открываем свойства объекта «Новая папка» на флешке:

Видим, что это «Приложение», т.е. исполняемый файл, который выдает себя за папку.

Идея вируса ясна: юзер заходит на флешку, видит папку с классическим названием «Новая папка», заходит посмотреть, что лежит в этой «папке», а на самом деле собственными пальчиками устанавливает вирус себе на компьютер.

Этот файл является самораспаковывающимся архивом, который записывает вирусные файлы в системные папки:

http://www.comp-man.info/2012/01/blog-post_27.html

Антивирус Dr.Web, проверяя файлы, не смотрит на расширения. Проверка осуществляется «по содержимому». Файл открывается, и анализируется его структура, чтобы определить его истинный тип.

Кроме всего прочего это позволяет уменьшить время на проверку файла, так как, определив тип, к нему можно применить только нужные проверки.

Чтобы включить отображение расширений, открываем настройки Параметры папок. К сожалению, для различных версий Windows способы получения доступа к этим настройкам отличаются. Так, в Windows 7 для этого нужно открыть Панель управления, в ней Параметры папок и перейти на закладку Вид. Для Windows 10 нужно открыть Проводник, перейти на вкладку Вид, выбрать Параметры и, далее, Изменение параметров папок и поиска.

Чтобы видеть расширения, необходимо снять флажок Скрывать расширения для зарегистрированных типов файлов.

#Windows #вредоносное_ПО #социальная_инженерия #съемные_устройства #терминология

Антивирусная правДА! рекомендует

Настройте свою систему так, чтобы видеть скрытые файлы и расширения.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
23:54:41 2018-08-03

Что бы видеть скрытые файлы и папки, есть программа Total Commander.

Неуёмный Обыватель Собкор
21:07:51 2018-06-27

Отображение расширений помогает определиться.

vasvet
18:35:57 2018-03-29

Да конечно, лучше не ленится, и смотреть свойства подозрительных объектов.

Галченок
12:55:18 2017-09-17

Спасибо за повышение грамотности пользователей. Сейчас сделаю

Alex@nder
13:08:05 2017-09-15

Совершенно верно. Так и бывает.

Astra
23:00:20 2017-09-06

Обалдеть. Буду проверять новые папки теперь.) Спасибо!

Drive
13:19:54 2017-09-04

Толковое разъяснение!

udginvr
14:23:28 2017-08-31

@tigra, "доктор Веб не сможет опознать подмену типа файла??!! уверен, что опознает подлеца.. так зачем же, нам ещё и отображать типы?"
Я, например, предпочитаю знать, что за файл передо мной. Иконки меняются от версии к версии, от одной программы к другой. А расширение - это вещь постоянная. На одном компьютере файлы .txt открываются блокнотом Windows с одной иконкой. На другом - другой версией блокнота, с другой иконкой. На третьем - при помощи notepad++ у которого в разных версиях тоже минимум две иконки было. Вот что мне, все эти иконки на память прикажете помнить? А расширение - оно одно и сразу говорит, что это простой текстовый файл.

razgen Собкор
00:01:00 2017-08-31

Отображение расширений включаю изредка при необходимости и потом отключаю. Постоянное отображение создаёт для меня визуальное неудобство.

A1037
23:45:19 2017-08-30

Относительно старый способ распространения малвари.

dyadya_Sasha Собкор
23:14:01 2017-08-30

@Littlefish, @Шалтай_Александр_Болтай, "Отображение скрытых файлов иногда мешает"
"...Как по мне, так лучше небольшое неудобство, чем увеличение риска заражения от вредоносных программ..."
Мне скрытые тоже мешают. Поэтому делаю их видимыми, только если что-то из скрытого найти нужно или что-то подозрительное на ПК происходит. Предпочитаю неудобство нескольких кликов мышью для снятия вуали, неудобству постоянно видеть лишнее среди рабочего.;)

dyadya_Sasha Собкор
23:01:43 2017-08-30

@Littlefish, "...Проект Антивирусная правда и нацелен, чтобы повышать грамотность пользователей..."

Выпуск прочитало меньше тысячи пользователей, это в сотни раз меньше всех пользователей DrWeb

"... а не просто бездумно поставил антивирус и забыл, ну мол я ж за него заплатил, пусть он сам всё и делает..."

Это идеал, к которому должны стремиться и стремятся антивирусные компании. Из тех тысяч пользователей, которые не читают АПравду, думаю, очень низкий процент страдает от действий вирусов (из своей практики). И это потому, что у DrWeb очень хорошие результаты работы по стремлению к идеалу.

Marsn77
22:57:30 2017-08-30

Классика жанра. Но настройки компьютера я все же проверил.

orw_mikle
21:53:13 2017-08-30

Спасибо за совет. Настроил.

Dvakota
21:32:38 2017-08-30

Настроил как надо .

aleks_ku
21:00:35 2017-08-30

Знания всегда нужны

Andromeda
20:36:49 2017-08-30

Уже настроено.

Марина
19:55:29 2017-08-30

Про Новую папку - занятный рассказ, спасибо.

vla_va
19:54:35 2017-08-30

Многое подменяют

В...а
19:01:45 2017-08-30

Хитро!

НинаК
18:34:26 2017-08-30

Голь на выдумки хитра

Любитель пляжного футбола Собкор
17:52:31 2017-08-30

@blade79, "...Иногда бывают вирусы делающие все папки скрытыми и создающие вместо оригинальных папок ссылки с такими же названиями..."
До чего только вирусописатели не додумаются, действительно, если не включено отображение расширений файлов, до никакого подвоха и не заметишь, зайдёшь, как обычно, в папку, с которой обычно работаешь, а тут тебе сюрприз.
А ведь в такой вирус можно добавить функционал отключения отображения расширений файлов (если оно было включено ранее), и тогда надежда только на антивирус.

AlexeyOloryal
17:43:21 2017-08-30

Спасибо. Всегда использую "другой" (название программы) проводник, проблем нет.

Любитель пляжного футбола Собкор
17:34:11 2017-08-30

По вашей рекомендации сделал это ещё раньше. Хоть это и создаёт некоторые неудобства при переименовывании файлов, но зато так безопаснее.
В интернете легко найти, где этот параметр скрывается, в зависимости от установленной ОС. Сам так находил, сразу ведь не вспомнишь, где эта настройка прячется. :)

ek
16:22:15 2017-08-30

Только спокойствие :)

Littlefish Собкор
15:33:51 2017-08-30

@tigra, а если не думать и не стараться соблюдать правила информационной безопасности (в том числе рекомендации которые пишутся в проекте АВП), то и коммерческая версия Security Space не поможет.

kva-kva
15:33:40 2017-08-30

Известный прием

Littlefish Собкор
15:29:22 2017-08-30

@tigra, Поэтому рекомендации пишутся не для юзверей без антивируса, а как раз таки для "грамотных защищённых коммерческим антивирусом пользователей".
Проект Антивирусная правда и нацелен, чтобы повышать грамотность пользователей, а не просто бездумно поставил антивирус и забыл, ну мол я ж за него заплатил, пусть он сам всё и делает.
Но голова же нам дана не только для того, чтобы шапку носить (или как в том анекдоте:
Корреспондент спрашивает у боксера Майка Тайсона:
— Майк, зачем вам такие бицепсы?
—Э... э...
— Ну наверное, для того, чтобы был сильным удар, — помогает корреспондент.
— Ага!
— Майк, а для чего в боксе нужна голова?
—Э...Э...
— Ну наверное, для того, чтобы рассчитать какой-либо прием?
— Ага, а еще я в нее ем...), но и для того, чтобы думать.

Littlefish Собкор
15:16:02 2017-08-30

@tigra, " ... так зачем же, нам ещё и отображать типы? ... или наш доктор Веб не сможет опознать подмену типа файла??!! уверен, что опознает подлеца.. "
Ни одна антивирусная компания не может утверждать, что их антивирусное решение детектит все 100% вредоносных программ (и в тестах ВебIQметра тоже это было), т.к. вирусы выпускаются ежеминутно (если не ежесекундно) и чтобы добавить сигнатуру вредоносной программы в базу антивируса нужно "словить" эту вредоносную программу и отправить её в антивирусную лабораторию. Плюс хитрые вирусописатели перед выпуском своих творений в "дикую среду" тестируют их на порталах (например вирустотал), где можно "прогнать" файл через множество антивирусных решений и убедиться, что написанная программа не обнаруживается всеми антивирусными решениями.

Littlefish Собкор
14:52:49 2017-08-30

@user, "Когда привыкаешь пользоваться тоталкоммандером, такой вариант с папкой не пройдёт".
Ну это если в нём включено отображение скрытых файлов. Расширение по умолчанию показывается.
Сам тоже пользуюсь коммандером.

Littlefish Собкор
14:49:05 2017-08-30

@dyadya_Sasha, тоже привык к Тоталу. Ну неудобно стандартным проводником пользоваться после использования ТоталКомандера. Тоже в нём настроено отображение расширений файлов и показ скрытых файлов.

Littlefish Собкор
14:45:22 2017-08-30

@Шалтай_Александр_Болтай, "Отображение скрытых файлов иногда мешает"
Как по мне, так лучше небольшое неудобство, чем увеличение риска заражения от вредоносных программ.

Littlefish Собкор
14:38:30 2017-08-30

Спасибо за рекомендации, но уже давным давно на компьютере было включено отображение скрытых файлов и показ расширений файлов.

mk.insta
14:28:55 2017-08-30 Именинник

Необычная уловка - под каталог прятаться

SGES Собкор
14:10:10 2017-08-30

Темные дела свету боятся.

tigra Собкор
13:00:35 2017-08-30

@Вячeслaв, @udginvr, Такое ощущение что говорим не о грамотных защищенных коммерческим антивирусом пользователях, а "диких" юзверях что не желают ставить антивирус, и данной статьёй даем им рекомендации... или наш доктор Веб не сможет опознать подмену типа файла??!! уверен, что опознает подлеца.. так зачем же, нам ещё и отображать типы?

Раш КХ
12:59:13 2017-08-30

постараемся

Natalya_2017
12:10:40 2017-08-30

Спасибо. Всё понятно.

Вячeслaв Собкор
12:02:35 2017-08-30

@blade79, есть проблема - сейчас куда меньше стали писать материалов в интернет. котики и реклама всех сортов. Поэтому вынужденно пользуемся для примеров тем, что есть - естественно если материалы еще актуальны.
Черви, распространяющиеся через флешки и пользователи не отключившие автозапуск/использующие систему без отключенного автозапуска - есть и не так и тех и других мало, поэтому цитата остается актуальной.
Так что вы правы - можно было подписать к цитате - прошло ххх лет и почти ничего не изменилось

Alexander Собкор
12:01:38 2017-08-30

Интересная статья. О файлах типа *.jpg.exe, *Новая папка.exe, отображаемых искаженными значками, не знал и, к счастью, с подобными им не сталкивался. В настройках "Параметры Проводника" -> "Вид" разрешаю показывать расширения для зарегистрированных типов файлов. Привычка и удобство для быстрого изменения расширения файла (*.txt ->*.bat, *.bmp ->*.ico). Настроил отображение ярлыков папок "со стрелочкой". Для многих пользовательские настройки вида отображаемых файлов и папок - это просто проявление индивидуального вкуса, в т.ч. и замена предлагаемых системой штатных "значков" на другие. Полагаю, что эта статья "подтолкнет" некоторых к формированию новой привычки, хотя бы в части показа расширения файла.

Вячeслaв Собкор
11:56:47 2017-08-30

@tigra, тяжелое наследие прошлого. Раньше компьютеры были слабые и определять тип про содержимому было сложно. Сейчас в ходу графические интерфейсы и тип файла виден по иконке, то есть система сразу проверяет и показывает тип файла по его содержимому - и расширение файла особо и не нужно. Но проблема в том, что иконка файла - может быть ловушкой. Скажем исполняемый файл может назначить себе и конкой иконку папки - пользователь кликнет на нее и все. И показ расширения в этих условиях - не паранойя, а необходимость.
А так да, не было бы мошенников - можно было бы не показывать расширения

Родриго
11:53:38 2017-08-30

мне несколько раз попадались подобного рода программы, выдающие себя за формат текста, ссылок, картинок. так что совет не лишний, всё же

maestro431
10:13:13 2017-08-30

Я это сделал в первую очередь.

udginvr
10:10:01 2017-08-30

@tigra, "Разработчик ведь неспроста скрыл расширения файлов.."
Неспроста. По моему мнению целью могло быть что-то типа "удаление из поля зрения ненужной для пользователя информации". Чтобы оный пользователь работал на компьютере, не заморачиваясь служебными подробностями.
Другое дело - что работать с отключенным отображением расширений файлов - это всё равно, что в магазине (или на рынке - если у нас ещё и антивирус не установлен) покупать продукты с закрытыми глазами, полагаясь только на слова продавца. Может повезёт и нам дадут действительно помидор, и даже спелый, как и обещали. А может и не повезти...

DrKV Собкор
09:24:54 2017-08-30

"Первым делом после установки Windows включаю отображение расширений файлов." Аналогично. Видеть расширение - весьма полезное дело.

duduka
08:40:37 2017-08-30

Для простых смертных хватит и антивируса

Пaвeл Собкор
08:40:31 2017-08-30

Первым делом после установки Windows включаю отображение расширений файлов.
Отображение скрытых файлов иногда включаю, чтобы получить доступ к папке "AppData", в остальное время отображение скрытых файлов отключено.

user
08:21:38 2017-08-30

Когда привыкаешь пользоваться тоталкоммандером, такой вариант с папкой не пройдёт.

ka_s
08:19:15 2017-08-30

Настроил. Расширения вижу. Спасибо!

eaglebuk
08:05:55 2017-08-30

Всегда переделываю вид папок на Таблицу, мне надо и время создания-изменения файла знать, и тип. И расширения тоже включаю, ясно становится, что это за файл.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Расширения-невидимки

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей