miércoles, junio 04, 2008
Albert López
En éste artículo hablaremos de la ocultaciín de malware en lo que puede parecer un archivo de imágen. Como sabrán, los archivos de imagenes generalmente tienen la extensión gif o jpeg y un icóno que les caracteriza.
En windows, hay una opción que es para habilitar/deshabilitar las extensiónes de los archivos, que generalmente viene por defécto deshabilitadas. Así un archivo de foto con su extensión que se llamase "foto1.jpeg" lo veríamos como "foto1".
Aquí está la verdadera trampa, ya que hay muchos programas para cambiar el icono de un ejecutable, imaginen ahora que a un virus que tengo, le pongo el icono de una imagen jpeg, entonces veríamos el icono del jpeg y si no tenemos las extensiones habilitadas no veríamos que trata de un .exe con el icóno cambiado.
En estos casos, haún se puede ir mas lejos, poniendo de nombre al virus "foto1" y añadiendo como trampa la extensión del formato fotográfico. En tal caso veríamos de nombre del archivo con las extensiones deshabilitadas :
En windows, hay una opción que es para habilitar/deshabilitar las extensiónes de los archivos, que generalmente viene por defécto deshabilitadas. Así un archivo de foto con su extensión que se llamase "foto1.jpeg" lo veríamos como "foto1".
Aquí está la verdadera trampa, ya que hay muchos programas para cambiar el icono de un ejecutable, imaginen ahora que a un virus que tengo, le pongo el icono de una imagen jpeg, entonces veríamos el icono del jpeg y si no tenemos las extensiones habilitadas no veríamos que trata de un .exe con el icóno cambiado.
En estos casos, haún se puede ir mas lejos, poniendo de nombre al virus "foto1" y añadiendo como trampa la extensión del formato fotográfico. En tal caso veríamos de nombre del archivo con las extensiones deshabilitadas :
foto1.jpeg
Si habilitáramos las extensiones, el archivo quedaría de la siguiente forma:
foto1.jpeg.exe
Para habilitar las extensiones pueden seguir los siguientes pasos:
Windows vista
En éste caso, nos daríamos fácilmente cuenta de que algo raro pasa, ya que tiene doble extensión, y en verdad es un ejecutable con el icono cambiado. Así hemos detectado un archivo sospechoso a simple vista, teniendo las extensiones habilitadas.
Para habilitar las extensiones pueden seguir los siguientes pasos:
Windows vista
- Seleccione "Inicio", "Panel de Control"
- Seleccione "Apariencia y personalización"
- En Opciones de carpeta seleccione: "Mostrar todos los archivos y carpetas ocultos"
- En "Ver" MARQUE: "Mostrar todos los archivos y carpetas ocultos"
- DESMARQUE: "Ocultar las extensiones del archivo para tipos de archivos conocidos"
- Haga clic en "Aplicar" y luego en "Aceptar
- Abra "Mi PC" o el "Explorador de Windows"
- Seleccione el menú "Herramientas" y pinche en "Opciones de carpetas".
- Seleccione la lengüeta "Ver".
- En "Configuración avanzada", bajo "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos".
- DESMARQUE "Ocultar archivos protegidos del sistema operativo" o similar.
- DESMARQUE la opción "Ocultar las extensiones para tipos de archivo conocidos" o similar.
- Haga clic en "Aplicar" y luego en "Aceptar"
Además, siguiendo éste método podrá ver los archivos y carpetas ocultos que a veces pasámos por alto y vale la pena tener controlados. Los archivos ocultos, tampoco hace falta siempre tenerlos habilitados y con los pasos descritos anteriormente pueden ver como volver a poner que queden ocultos.
Posted in: Prevención
0 comentarios:
Publicar un comentario