文件名中的特殊字符导致启动病毒可执行文件

信息安全 病毒 脆弱性 激流 代码执行
2021-09-11 10:56:50

所以我刚刚下载了一个包含一个文件的torrent - 文件的正式名称应该是“123.avi.exe”(这是病毒和木马的典型名称)。现在,有趣的是,名称在 UTF16-LE 中编码为以下字节:

FFFE3100320033002E002D202E202D202E206900760061002E00650078006500

这给了我们奇怪的,部分反转的“.exe”文本(尝试从左到右移动光标,你会感到惊讶):

123.‭‮‭‮iva.exe

但最糟糕的部分是 utorrent 显示非可疑的“.avi”扩展名,而当你在 GUI 中双击它时——它就像“.exe”一样运行,程序运行。

您可以通过使用我上面写的名称创建虚拟文件来自己测试它。一件更有趣的事情 - 如果文件名包含这些特殊字符,Total Commander 会阻止执行此类文件。

PS 我已经在 uTorrent 跟踪器上启动了类似的线程(尚未获得版主批准)

1个回答

诀窍是从右到左的覆盖字符阿拉伯语等语言从右到左而不是从左到右书写。要将此类文本嵌入字符串中,您可以切换文本的方向,这有助于隐藏真正的扩展名。

helloworld.<RLO>cod.exe

将显示为

helloworld.exe.doc

因为 RLO 字符后面的部分是颠倒的。

其它你可能感兴趣的问题
上一篇为什么哈希冲突是大新闻? 下一篇哪些安全操作提供机密性、完整性和身份验证?