Los caracteres especiales en el nombre de archivo llevan a iniciar el ejecutable del virus [duplicado]

4

Así que acabo de descargar Torrent con un archivo: el nombre formal del archivo debería ser "123.avi.exe" (que es típico de virus y troyanos). Ahora, lo interesante es que el nombre está codificado en UTF16-LE como los siguientes bytes:

FFFE3100320033002E002D202E202D202E206900760061002E00650078006500

que nos da un texto extraño, parcialmente revertido sobre ".exe" (intenta mover el cursor de izquierda a derecha y te sorprenderás):

123.‭‮‭‮iva.exe

Pero la parte mala de todas es que muestra una extensión ".avi" no sospechosa, mientras que al hacer doble clic en la GUI, aparece como ".exe" y el programa se ejecuta.

Puedes probarlo tú mismo creando un archivo ficticio con el nombre que escribí anteriormente. Una cosa más interesante: Total Commander evita la ejecución de dicho archivo si su nombre contiene estos caracteres especiales.

P.S. Comencé con un hilo en uTorrent tracker ( aún no aprobado por el moderador)

    
pregunta Alek Depler 09.05.2017 - 08:54
fuente

1 respuesta

12

El truco es el carácter de reemplazo de derecha a izquierda . Los idiomas como el árabe escriben de derecha a izquierda en lugar de izquierda a derecha. Para incrustar dicho texto en una cadena, puede cambiar la dirección del texto, y eso puede ayudar a ocultar la extensión real.

helloworld.<RLO>cod.exe

se mostrará como

helloworld.exe.doc

porque la parte después del carácter RLO se invierte.

    
respondido por el Sjoerd 09.05.2017 - 09:00
fuente

Lea otras preguntas en las etiquetas