Can we believe our eyes? - Microsoft Malware Protection Center - Site Home - TechNet Blogs
vendredi 26 juillet 2013 à 09:49 Sebsauvage, le 26/07/2013 à 00:09
Je m'y attendais un peu: les malwares commencent utiliser l'Unicode pour masquer les noms de fichiers.
D'abord avec un fichier hosts leurre dont le "o" n'est pas un "o" latin mais un caractère cyrillique. Ce fichier leurre ne contient aucune entrée malveillante. Donc à l'inspection, l'utilisateur ne verra rien d'anormal. Le vrai fichier hosts reste caché, contenant les domaines détournés.
Ensuite, plus subtile, en utilisant le caractères Unicode qui inverse l'écriture. Par exemple en insérant ce caractère après "pic" dans "picgpj.exe", le fichier apparaît comme "picexe.jpg", mais il a bien l'extension .exe et s'exécutera si on double-clic dessus. Diabolique.
Il fut une époque où le même genre de magouille était possible dans les URL, mais désormais les navigateurs affichent (généralement) les URL encodées en PunnyCode pour les différencier. Exemple: Voyez-vous des différences entre ces URLs ?
http://cοmmentcamarche.net/
http://cѻmmentcamarche.net/
http://commentcamarche.net/
http://c੦mmentcamarche.net/
http://c౦mmentcamarche.net/
Elles sont toutes différentes, mais une seule mène au vrai site de commentcamarche. Les autres domaines n'existent pas, mais rien n'empêcherait quelqu'un de les acheter et de mettre de fausses pages de login commentcamarche.
(Permalink)
Cochise, le 26/07/2013 à 09:49
Oh merde c'est vicieux ça !
via : http://sebsauvage.net/links/?Ql5Dvg
(Permalink)
Je m'y attendais un peu: les malwares commencent utiliser l'Unicode pour masquer les noms de fichiers.
D'abord avec un fichier hosts leurre dont le "o" n'est pas un "o" latin mais un caractère cyrillique. Ce fichier leurre ne contient aucune entrée malveillante. Donc à l'inspection, l'utilisateur ne verra rien d'anormal. Le vrai fichier hosts reste caché, contenant les domaines détournés.
Ensuite, plus subtile, en utilisant le caractères Unicode qui inverse l'écriture. Par exemple en insérant ce caractère après "pic" dans "picgpj.exe", le fichier apparaît comme "picexe.jpg", mais il a bien l'extension .exe et s'exécutera si on double-clic dessus. Diabolique.
Il fut une époque où le même genre de magouille était possible dans les URL, mais désormais les navigateurs affichent (généralement) les URL encodées en PunnyCode pour les différencier. Exemple: Voyez-vous des différences entre ces URLs ?
http://cοmmentcamarche.net/
http://cѻmmentcamarche.net/
http://commentcamarche.net/
http://c੦mmentcamarche.net/
http://c౦mmentcamarche.net/
Elles sont toutes différentes, mais une seule mène au vrai site de commentcamarche. Les autres domaines n'existent pas, mais rien n'empêcherait quelqu'un de les acheter et de mettre de fausses pages de login commentcamarche.
(Permalink)
Cochise, le 26/07/2013 à 09:49
Oh merde c'est vicieux ça !
via : http://sebsauvage.net/links/?Ql5Dvg
(Permalink)