Windows-gebruikers doen er verstandig aan om de Detailweergave te selecteren, anders lopen ze het risico door RTLO-malware besmet te raken. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Het wordt vooral gebruikt voor het schrijven en lezen van Arabische of Hebreeuwse teksten. Het is echter ook populair bij het uitvoeren van gerichte aanvallen, waarbij aanvallers vertrouwelijke netwerken proberen te infiltreren. RTLO zorgt er namelijk voor dat SexyPictureGirl[RTLO]gpj.exe als SexyPictureGirlAlexe.jpg in Windows wordt weergegeven, ook al staat het weergeven van bestandsextensies ingeschakeld. Veel van de RTLO-malware wordt voorzien van een ander icoon om de omgedraaide bestandsextensie weer te geven. Hierdoor denkt de gebruiker dat het om een onschuldige afbeelding gaat, terwijl het in werkelijkheid een uitvoerbaar .exe-bestand is.

Extensie
Onlangs rapporteerde beveiligingsbedrijf Commtouch dat het gebruik van RTLO-malware weer uitgebreid werd ingezet. De malware wordt daarbij in een ZIP-bestand gestopt, waardoor virusscanners soms de inhoud niet kunnen scannen. Uitpakprogramma's zoals WinZip, WinRAR en 7-Zip geven in dit geval in plaats van de echte extensie, de RTLO-extensie weer.

De techniek wordt vooral voor gerichte aanvallen ingezet. "We hebben de afgelopen week duizenden exemplaren gezien die deze techniek gebruiken", zegt Lordian Mosuela van Commtouch in een interview met Security.nl. Volgens hem is RTLO nog steeds een vrij ongewone techniek en wordt het vooral gebruikt voor het infecteren van bedrijfscomputers. "Werknemers moeten voor deze techniek oppassen en dit soort bijlagen niet openen, anders raken ze besmet met het virus."

Microsoft
Mosuela zou graag zien dat Microsoft een optie biedt om RTLO uit te schakelen. "Aangezien dit niet zal gebeuren, adviseren we gebruikers om hiervoor op te passen en de Detailweergave van Windows te gebruiken." Door naar het type bestand te kijken, zal zelfs bij RTLO-malware worden aangegeven dat het om een applicatie gaat. Daarnaast doen gebruikers er verstandig aan om geen verdachte bijlagen te openen, zelfs als die van een bekende afkomstig zijn. "Dat is de beste manier om je tegen dit soort malware te beschermen", merkt Mosuela op.

Beveiligingsonderzoekster Mila Parkour, die zich specialiseert in gerichte aanvallen, laat tegenover Security.nl weten dat ze RTLO vaak tegenkomt, maar dat het gebruik van kwaadaardige bijlagen nog altijd populairder is. Ondanks de groei van RTLO-malware, is ze niet bang voor een pandemie. De reden hiervoor is dat de techniek meestal voor binaire-bestanden wordt gebruikt, zoals .exe en .scr. Binaire bestanden zijn binnen ZIP-bestanden eenvoudig te detecteren. Parkour merkt op dat ze weleens gezien heeft dat de ZIP-archieven met een wachtwoord beveiligd worden, maar dit kan de ontvanger weer waarschuwen dat het een verdacht bestand is.

Geloofwaardig
Een alternatief voor RTLO-malware is het sturen van een link naar een ZIP of RAR-bestand. Dat is bijna onmogelijk voor scanners om te detecteren, zo laat ze weten. "Het probleem voor de aanvallers hierbij is ervoor te zorgen dat het URL domein geloofwaardig genoeg is. Veel mensen weten inmiddels dat ze door met de muis over de link heen te zweven de echte URL kunnen zien." Daarnaast plaatsen de meeste mensen geen documenten voor interne kantoorcommunicatie op externe sites, terwijl gerichte aanvallers dit juist proberen te vervalsen.

De meeste bedrijven zijn volgens haar in staat om met het gevaar van RTLO-malware om te gaan. Het gaat dan om bedrijven die uniforme afbeeldingen of "clone templates" voor computers gebruiken. Ook het gebruik van applicatie-whitelisting op bedrijfscomputers zal een gebruiker waarschuwen dat het geen document of afbeelding is, maar een applicatie die ze proberen te starten.

Windows XP
Zowel voor bedrijven als thuisgebruikers adviseert ook Parkour om de Detailweergave van Windows te selecteren. Verder moet ook de "Type" kolom duidelijk zichtbaar zijn. "En onderwijs gebruikers dat ze elk ZIP of RAR-archief met dezelfde voorzichtigheid als een .exe-bestand behandelen." Wat betreft het verwijderen van dit unicode-karakter door Microsoft merkt ze op dat dit niet mogelijk is, aangezien het "een integraal en belangrijk onderdeel van het besturingssysteem" is. Onderzoeker Jordi Chancel is het niet met haar eens. "Het is jammer dat Microsoft deze unicode in bestanden verbiedt". Hij laat in dit onderzoek weten dat het probleem niet alleen bij bestanden speelt, maar ook bij links, waardoor gebruikers naar phishingwebsites zijn te lokken.

De afbeelding rechts is afkomstig van F-Secure en laat zien hoe de RTLO-malware in een ZIP-archief verstopt zit. Het Windows uitpakprogramma herkent dat het een uitvoerbaar bestand is, maar in de Windows-verkenner wordt het toch als een Word document weergegeven. Ook verschillende uitpakprogramma's herkennen dat het om een applicatie gaat, maar geven toch de .doc-extensie weer.

Volgens het Noorse anti-virusbedrijf Norman, speelt het probleem standaard alleen bij Vista en Windows 7, aangezien gebruikers van Windows XP een update moeten installeren om het RTLO unicode-karakter te laten werken.