Dateiendungen verbergen?

> Dabei nutzen sie auch die arabische Schreibweise von rechts nach links, um verdächtige Dateiendungen zu verbergen.

Steh ich gerade auf dem Schlauch?
Malware.exe
exe.erawlaM
Das Exe sehe ich jetzt doch recht deutlich. Ob es jetzt am Anfang oder ende steht scheint nicht erheblich.

Wie verbirgt man mit der Schreibweise die Dateiendung. Ich steht auf dem Schlauch. Liegt wohl daran das ich noch nie die andere Schreibweise hatte.

exe.zaubert.sich.das.höschen.weg.avi

attitudinized schrieb:
--------------------------------------------------------------------------------
> exe.zaubert.sich.das.höschen.weg.avi

Das ist eine .avi Datei und keine .exe. Wie denkt ihr werden Dateien in einem arabischen Windows behandelt?

Bis zu diesem Artikel dachte ich eigentlich so:

emanietaD.Dateiendung
So kenne ich es, wenn ich auf Japanisch umstelle. Die Dateiendung ist bekannt, der Zeichenbrei davor anders.
Nur der Artikel irritiert mich und ich frage mich ob es da anders ist.

Wenn es da nicht so ist, frage ich mich wie der Trick mit den Überlisten klappen soll



1 mal bearbeitet, zuletzt am 19.02.15 15:51 durch Salzbretzel.

Salzbretzel schrieb:
--------------------------------------------------------------------------------
> Bis zu diesem Artikel dachte ich eigentlich so:
>
> emanietaD.Dateiendung
> So kenne ich es, wenn ich auf Japanisch umstelle. Die Dateiendung ist
> bekannt, der Zeichenbrei davor anders.
> Nur der Artikel irritiert mich und ich frage mich ob es da anders ist.
>
> Wenn es da nicht so ist, frage ich mich wie der Trick mit den Überlisten
> klappen soll

So ist es. Die Dateiendung steht logischerweise immer noch am Ende. Wie man hier jetzt irgendwas nutzen kann um Dateiendungen zu verbergen? Ich weiß es nicht.



1 mal bearbeitet, zuletzt am 19.02.15 15:56 durch gaym0r.

Wird im verlinkten Dokument gut erklärt wie das möglich ist:

http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/The-Desert-Falcons-targeted-attacks.pdf

Punkt 4.1.3 - Right-to-left extension override trick

Hat hier noch niemand von Right to Left override charactern gehört? (RTLO) - dieser dreht die darstellung der reihenfolge ab diesem zeichen um - wenn die datei also
sehr[x]iva.hcsirtn.exe wobei [x] das RTLO zeichen ist, wird die datei dargestellt als

sehrexe.ntrisch.avi

noch besser geht es, wenn dateiendungen standardmäßig ausgeblendet werden und man das .exe damit gar nicht mehr sieht.
RTLO character werden auch gerne in URLs benutzt um beim aufruf von
evilshit.de/virus.exe?cba=cba&321=di?draweragem/laiceps/ed.elgoog//:ptth[x]
es so aussehen zu lassen:
[x] http://google.de/special/megareward?id=123&abc=abc?exe.suriv/ed.tihslive

germaa schrieb:
--------------------------------------------------------------------------------
> Wird im verlinkten Dokument gut erklärt wie das möglich ist:
>
> 25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com
>
> Punkt 4.1.3 - Right-to-left extension override trick

"Near the end of the file name". Im Prinzip rutscht die tatsächliche Endung vor den Punkt und das klappt bei einem Screensaver bestimmt auch prima. Aber bei einer exe ist das schon schwieriger und weniger unauffällig.

Ich denke als Cyberkrimineller steht da bei Windows doch Tür und Tor offen. Die hier genannten Methoden sind mir völlig neu und geben mir ein neuen Blick auf Schadsoftware Bekämpfung / Prävention

War mir in der Tat nicht in der Form bekannt. Ich bin mir zwar gerade nicht sicher ob mein Mailprogramm das nicht doch richtig anzeigen würde - aber gut.

Danke für die Erklärung.

Tzven schrieb:
--------------------------------------------------------------------------------
> germaa schrieb:
> ---------------------------------------------------------------------------
> -----
> > Wird im verlinkten Dokument gut erklärt wie das möglich ist:
> >
> > 25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com
> >
> > Punkt 4.1.3 - Right-to-left extension override trick
>
> "Near the end of the file name". Im Prinzip rutscht die tatsächliche Endung
> vor den Punkt und das klappt bei einem Screensaver bestimmt auch prima.
> Aber bei einer exe ist das schon schwieriger und weniger unauffällig.
Im Prinzip ist es nichts anderes wie die doppelte Dateiendung, die wir schon lange kennen. Urgs.pdf.exe oder so und durch deren Schreibweise wird es noch konfuser.

mfg