sábado, 3 de agosto de 2013

Janicab.A y el truco del carácter U+202E

Estaba leyendo acerca de una nueva familia de malware que puede propagarse tanto en Windows como en OS X. A parte de eso, me llamó también la atención que Janicab.A, como se conoce al troyano, también utiliza un viejo truco para engañar al usuario: el carácter especial Unicode U+202E conocido como una anulación de derecha a izquierda para hacer que el archivo malicioso aparezca como un documento PDF en lugar de un archivo ejecutable potencialmente peligroso.

Nada más fácil de realizarse. Por ejemplo, imagina que nuestro server es cmd.exe:

1. Abrimos el mapa de caracteres de Windows (inicio, ejecutar, charmap)


2. Buscamos y copiamos el carácter Unicode U+202E. Fijaros que en la parte inferior izquierda se muestra el valor ASCII de los caracteres.



3. Pegamos (Ctrl+V) el carácter justo antes del punto de la extensión: cmd[[Unicode U+202E]].exe


4. Escribimos la extensión que queremos pero al revés, por ejemplo, si queremos "doc" escribiremos "cod" o si queremos "pdf" escribiremos "fdp".

Y al final el resultado visual será cmdexe.doc:



Por último para "endulzar" el vector de infección simplemente tendríamos que cambiar el icono con reshack u otro y utilizar un nombre algo más disimulado teniendo en cuenta que el "exe" o la extensión original debe permanecer. Por ejemplo:


No hay comentarios:

Publicar un comentario