Nieuws
image

Sasfis Trojan fopt Windows met RLO-techniek

donderdag 3 juni 2010, 16:05 door Redactie, 9 reacties

De Japanse overheid waarschuwt internetgebruikers voor een Trojaans paard dat op een Excel bestand lijkt, maar in werkelijkheid een uitvoerbaar bestand is. De Sasfis Trojan is al een aantal maanden actief en installeert volgens Trend Micro meestal een buslading malware op geïnfecteerde systemen.

Onlangs ontdekte de virusbestrijder een nieuwe variant die de right-to-left override (RLO) techniek hanteert. De malware arriveert per e-mail als .RAR bijlage, die weer een .XLS bestand bevat. Bij het uitpakken van het bestand ziet het er ook uit als een legitiem Excel-bestand. In werkelijkheid is het een screensaver, die een Trojaans paard installeert.

Extensie
Hoewel het om een Excel worksheet lijkt te gaan, bevat het een Win32 binaire header, die alleen uitvoerbare bestanden hebben. De werkelijke bestandsnaam is phone&mail).[U+202e}slx.scr, waarbij U+202e het Unicode control karakter is, dat het systeem vertelt om alle opvolgende karakters van rechts naar links te renderen. Voor de gebruiker ziet het bestand eruit als phone&mail).xls.scr. Aangezien bij Windows standaard bestandsextensies staan uitgeschakeld, kan de gebruiker denken dat het om een Excel-bestand gaat, terwijl het in werkelijkheid een uitvoerbaar .SCR-bestand is.

Reacties (9)
03-06-2010, 16:38 door Anoniem
zucht dat is het eerste wat je weer aan zet
03-06-2010, 17:09 door [Account Verwijderd]
[Verwijderd]
03-06-2010, 17:27 door SirDice
De werkelijke bestandsnaam is phone&mail).[U+202e}slx.scr, waarbij U+202e het Unicode control karakter is, dat het systeem vertelt om alle opvolgende karakters van rechts naar links te renderen. Voor de gebruiker ziet het bestand eruit als phone&mail).xls.scr
Geinig, maar waarom rendert dit niet naar "phone&mail).rcs.xls"?
03-06-2010, 18:38 door [Account Verwijderd]
[Verwijderd]
03-06-2010, 20:09 door meeuw
Volgens mij is het omgekeerde van slx.scr:

rcs.xls

En zal de gebruiker dat zien... Lijkt me logischer in dit verhaal, want het is dan "maar" een xls bestand.
03-06-2010, 22:03 door Anoniem
Het is een verwarrend verhaal omdat er paar fouten in staan. De belangrijkste fout is dat de omgekeerde bestandsnaam in het artikel niet klopt.

Laten we het daarom even met een nieuwe naam proberen. Stel dat de originele, niet omgekeerde bestandsnaam "slx.scr" is. ".scr" is een uitvoerbare extensie voor Windows. Deze naam wordt voor een test omgekeerd met de unicode truuk.

Wat de gebruiker dan ziet is "rcs.xls". Deze naam is zichtbaar onder zowel Windows Explorer (XP) en WinRAR. Zodra het bestand wordt geopend zal het worden uitgevoerd als "slx.scr". Je kunt stellen dat het voor een doorsnee gebruiker van een links naar rechts schrift "rcs.xls" niet te herkennen is als een uitvoerbaar bestand, en dat ze het kunnen aanzien voor een Excel spreadsheet. Het is nog overtuigender als het uitvoerbare bestand het Excel icoontje gebruikt.

Voor degenen die zelf een unicode naam willen maken, een manier is:
1. Open WordPad.
2. Typ: 202e
3. Typ ALT-X (ALT toets ingedrukt houden, dan X toets)
4. Typ slx.scr
5. Selecteer en kopieer de getypte tekst
6. Hernoem een uitvoerbaar bestand met de gekopieerde tekst.
7. Voer het bestand uit.
03-06-2010, 22:49 door spatieman
Door Anoniem: zucht dat is het eerste wat je weer aan zet

Jij weet dat, ik weet dat.
de meeste hier weten dat.
Maar de rest van het DOM klik volk weet dat niet.
die zijn allang blij dat ze hun pr0n kunnen downloaden.
04-06-2010, 10:44 door Anoniem
Door Peter V: Tja...welke domoor gaat dan ook een e-mailbijlage openen? Heeft men van I-Love-You nu nog niks geleerd?
Inderdaad, ongelooflijk dom dat mensen email gebruiken om dingen te versturen. Het zou verboden moeten worden!
Na al die jaren blijf je me verbazen met dit soort opmerkingen...
06-06-2010, 17:41 door GerBNL
Door Anoniem: zucht dat is het eerste wat je weer aan zet

Tja, onbegrijpelijk dat die idiote beslissing nog steeds niet ongedaan is gemaakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search