新型木马利用文件名欺骗伪装

         转载自“赛迪网 ”

         日前一种新型木马被截获，木马程序本身并不复杂，但病毒作者采用的欺骗手法却十分高明。

　　该病毒在文件名中插入RLO控制符（注：RLO控制符是Unicode控制符的一种，用来显示中东文字，从右到左书写），使得字符显示从右至左的顺序，让病毒程序的真实后辍名（.exe/.scr/.com等）被隐藏，伪装后的病毒看起来是.jpg、.txt、.rmvb的文件，就连经验丰富的IT技术人员也轻易被骗。安全研究人员根据病毒的这个特点将其命名为逆名欺骗木马。

 

　　一般的防毒经验中，会推荐用户显示已知文件的扩展名，以查看文件的真实扩展名，避免被病毒程序的图标伪装欺骗。

 

 

　　但逆名欺骗木马，却完全利用了对文件扩展名（后辍名）的信任。

 

　　分析发现逆名欺骗木马的病毒文件名被人为插入了RLO控制符，使得文件名中的字符显示是从右到左，而中国用户的电脑显示字符是从左到右的。RLO控制符用来显示中东地区的某种文字。

 

 

　　用totalcmd观察可以看到真实扩展名

 

 

　　在Winrar中查看也和资源管理器一样，很容易被骗。

 

 

　　双击打开这个假“文本”文件，结果病毒会创建一个真的TXT文件继续蒙你。病毒作者骗术真是挺高明的。