Sasfis Trojan fopt Windows met RLO-techniek
De Japanse overheid waarschuwt internetgebruikers voor een Trojaans paard dat op een Excel bestand lijkt, maar in werkelijkheid een uitvoerbaar bestand is. De Sasfis Trojan is al een aantal maanden actief en installeert volgens Trend Micro meestal een buslading malware op geïnfecteerde systemen.
Onlangs ontdekte de virusbestrijder een nieuwe variant die de right-to-left override (RLO) techniek hanteert. De malware arriveert per e-mail als .RAR bijlage, die weer een .XLS bestand bevat. Bij het uitpakken van het bestand ziet het er ook uit als een legitiem Excel-bestand. In werkelijkheid is het een screensaver, die een Trojaans paard installeert.
Extensie
Hoewel het om een Excel worksheet lijkt te gaan, bevat het een Win32 binaire header, die alleen uitvoerbare bestanden hebben. De werkelijke bestandsnaam is phone&mail).[U+202e}slx.scr, waarbij U+202e het Unicode control karakter is, dat het systeem vertelt om alle opvolgende karakters van rechts naar links te renderen. Voor de gebruiker ziet het bestand eruit als phone&mail).xls.scr. Aangezien bij Windows standaard bestandsextensies staan uitgeschakeld, kan de gebruiker denken dat het om een Excel-bestand gaat, terwijl het in werkelijkheid een uitvoerbaar .SCR-bestand is.
rcs.xls
En zal de gebruiker dat zien... Lijkt me logischer in dit verhaal, want het is dan "maar" een xls bestand.
Laten we het daarom even met een nieuwe naam proberen. Stel dat de originele, niet omgekeerde bestandsnaam "slx.scr" is. ".scr" is een uitvoerbare extensie voor Windows. Deze naam wordt voor een test omgekeerd met de unicode truuk.
Wat de gebruiker dan ziet is "rcs.xls". Deze naam is zichtbaar onder zowel Windows Explorer (XP) en WinRAR. Zodra het bestand wordt geopend zal het worden uitgevoerd als "slx.scr". Je kunt stellen dat het voor een doorsnee gebruiker van een links naar rechts schrift "rcs.xls" niet te herkennen is als een uitvoerbaar bestand, en dat ze het kunnen aanzien voor een Excel spreadsheet. Het is nog overtuigender als het uitvoerbare bestand het Excel icoontje gebruikt.
Voor degenen die zelf een unicode naam willen maken, een manier is:
1. Open WordPad.
2. Typ: 202e
3. Typ ALT-X (ALT toets ingedrukt houden, dan X toets)
4. Typ slx.scr
5. Selecteer en kopieer de getypte tekst
6. Hernoem een uitvoerbaar bestand met de gekopieerde tekst.
7. Voer het bestand uit.
Jij weet dat, ik weet dat.
de meeste hier weten dat.
Maar de rest van het DOM klik volk weet dat niet.
die zijn allang blij dat ze hun pr0n kunnen downloaden.
Na al die jaren blijf je me verbazen met dit soort opmerkingen...
Tja, onbegrijpelijk dat die idiote beslissing nog steeds niet ongedaan is gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
