当前位置:中国反病毒小组 >> 病毒学院 >> 解决方案 >> 浏览文章
利用文件名欺骗伪装逆名欺骗木马
作者:佚名 日期:2010年10月30日 来源:不详 浏览: 【字体:
核心提示:利用文件名欺骗伪装(逆名欺骗木马) 该病毒在文件名中插入RLO控制符(注:RLO控制符是Unicode控制符的一种,用来显示中东文字,从右到左书写),使得字符显示从右至左的顺序,让病毒程序的真实后辍名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是.jpg、.txt、.rmvb的文件,就连经验丰富的IT技术人员也轻易被骗。金山安全实验室根据病毒的这个特点将其命名为逆名欺骗木马。一般的防毒经验中,会推荐用户显示已知文件的扩展名,以查看文件的真实扩展名,避免被病毒程序的图标伪装欺骗
保护您的计算机 打造洁净网络 中国反病毒小组给您安全的保障
MYSQL安装图解 PHP MYSQL MYSQL下载 iis下载 iis php IIS是什么
中国反病毒小组网2010年10月30日消息:

利用文件名欺骗伪装(逆名欺骗木马

病毒在文件名中插入RLO控制符(注:RLO控制符是Unicode控制符的一种,用来显示中东文字,从右到左书写),使得字符显示从右至左的顺序,让病毒程序的真实后辍名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是.jpg、.txt、.rmvb的文件,就连经验丰富的IT技术人员也轻易被骗。金山安全实验室根据病毒的这个特点将其命名为逆名欺骗木马

一般的防毒经验中,会推荐用户显示已知文件的扩展名,以查看文件的真实扩展名,避免被病毒程序的图标伪装欺骗。
点击浏览下一页
但逆名欺骗木马,却完全利用了对文件扩展名(后辍名)的信任。

分析发现逆名欺骗木马病毒文件名被人为插入了RLO控制符,使得文件名中的字符显示是从右到左,而中国用户的电脑显示字符是从左到右的。RLO控制符用来显示中东地区的某种文字。

点击浏览下一页
用totalcmd观察可以看到真实扩展名
点击浏览下一页
在Winrar中查看也和资源管理器一样,很容易被骗。
点击浏览下一页
双击打开这个假“文本”文件,结果病毒会创建一个真的TXT文件继续蒙你。病毒作者骗术真是挺高明的。
点击浏览下一页
金山毒霸已经针对该病毒的伪装升级了修复脚本,毒霸的用户不必担心被逆名欺骗木马蒙倒。

点击浏览下一页

11月30日前,下载金山卫士,就可以获赠一年免费金山毒霸2011
下载地址:http://dl.ijinshan.com/safe/setup_osok.exe
中国反病毒小组
此文章对你有帮助吗?如果未能解决你的困扰,请访问我们的论坛发帖求助吧,我要求助!
分享按钮
Tegs:利用,文件,文件名,欺骗,伪装,木马,马利
责任编辑:shaoey
上一篇文章:联通域名纠错强弹淘宝客广告 下一篇文章:qsetup.exe,qcat.ini 查杀
友荐云推荐
Copyright 2007-2013 www.china-antivirus.com, ALL Rights Reserved.
保护您的计算机 打造洁净网络 中国反病毒小组给您安全的保障
豫ICP备11016355号-1