_ scritto il 25.08.2011 alle ore 11:01 _
3907 letture
E' recentemente tornata alla ribalta una tecnica piuttosto subdola per indurre un utente poco accorto ad eseguire un malware mascherato da tutt'altro tipo di file. All'interno del nome del file contenente il virus viene inserito uno speciale tipo di carattere Unicode di controllo, chiamato
RLO (Right to Left Override), che di fatto
inverte la direzione di lettura dei caratteri che lo seguono.
Viene usato nell'ambito di quelle lingue che utilizzano un verso di lettura/scrittura opposto al nostro (quindi da destra verso sinistra), ma è sfruttato per modificare l'estensione di un file e farlo in questo modo apparire ai nostri occhi per quello che non è. Un esempio chiarirà ogni dubbio:
Indicando con [RLO] il carattere di cambio del verso di lettura, vediamo che succede se rinominiamo un file in questo modo:
documento[RLO]cod.exe
Il sistema operativo considererà questo file come un'applicazione, dunque un nostro doppio click ne causerà l'esecuzione. Tuttavia la visualizzazione del nome del file terrà conto del carattere speciale, e invertirà tutto quello che c'è dopo di esso. Il risultato è che noi vedremo un file con un'altra estensione:
documentoexe.doc
Rassicurati dal fatto che si tratta di un documento Word, potremmo essere portati a sottovalutarne i rischi e a fare doppio click, eseguendo il virus.
Gli utenti Windows possono comunque contare sul fatto che, se hanno scelto la visualizzazione dettagliata, la colonna "Tipo" mostrerà sempre la reale tipologia del file (in questo caso "Applicazione"), tuttavia, come fa anche notare
F-Secure, se il malware è contenuto in un archivio compresso il tipo di file potrebbe non essere mostrato dal programma che si utilizza per l'estrazione (7-Zip, ad esempio, non lo mostra).
Il consiglio d'oro in questo caso è sempre lo stesso:
se non siete assolutamente certi della provenienza di un file che ricevete, cancellatelo immediatamente.