Thứ Bảy, 3 tháng 9, 2011

Trò mới của tin tặc là biến dạng mã độc dạng .exe qua dạng .doc để đánh lừa người dùng






Sau khi dân cư mạng dần dà đã cảnh giác với các loại tập tin .ZIP, .RAR, v.v... có chứa mã độc thì thủ thuật này không còn hiệu nghiệm nhiều nữa cho tin tặc.  Khi thấy các loại tập tin .ZIP, .RAR đến từ các nguồn bất thường là người nhận tránh, không mở ra.


Trò mới của tin tặc là biến dạng mã độc dạng .exe qua dạng .doc để đánh lừa người dùng. Sau đây là một thí dụ mới nhất mà tin tặc vừa tung ra. Người dùng nhận được một tập tin như sau:

Thọat nhìn thì rõ ràng tên hồ sơ tận cùng bằng .DOC, tức là Microsoft Office Document. Chẳng những thế hình icon quả đúng là hồ sơ .DOC. Nhưng thật sự không phải thế. Nếu chúng ta xem bằng dòng lệnh (command-line) thì sẽ thấy tập tin này tên thật là:


Nó chính là một tập tin .EXE có chứa mã độc.

Nếu không xem bằng dòng lệnh, mà bấm chuột nút phải, chọn Properties, thì bạn sẽ thấy như sau:




Lưu ý: hàng tô màu vàng cho thấy rõ loại tập tin này là ứng dụng .EXE chứ không phải.DOC

Tại sao tên tập tin lại biến dạng từ .EXE qua .DOC như thế ?

Gần đây với Unicode trở nên phổ thông, các hệ điều hành cho phép tên tập tin có thể dùng mẫu tự Unicode. Unicode là cho toàn bộ các ngôn ngữ trên thế giới. Có những ngôn ngữ đọc từ trái sáng phải (tiếng Việt, tiếng Anh, ...) có những ngôn ngữ khác thì đọc ngược lại từ phải sang trái như tiếng Á-rập. Do đó Unicode có sẵn các chức năng RTLO và LTRO (right-to-left-override, left-to-right-override, tức đảo ngược trái sang phải, hoặc phải sang trái).  Tin tặc lợi dụng chức năng này để đảo ngược tên tập tin ****cod.exe thành ****exe.doc


Làm sao tránh cạm bẫy này ?

  • Khi nhận được tập tin .DOC mà tên tận cùng bằng ***exe.doc thì bạn phải cảnh giác ngay, nhất là nếu tập tin có nguồn gốc khả nghi
  • Nếu biết dùng dòng lệnh (command-line) thì ra xem lại coi tập tin là .DOC hay .EXE
  • Xem lại properties của tập tin (như đã chỉ bên trên) để kiểm lại loại tập tin thật sự là .DOC hay .EXE
  • Ngoài ra tuân thủ theo những điểm căn bản để phòng chống mã độc nêu tại đây.


Bài : Trò mới của tin tặc khi gửi mã độc

Ban Biên Tập No Firewall


http://nofirewall.blogspot.com/2011/09/ban-bien-tap-no-firewall-20110901-sau.html

1 nhận xét: