Я пытаюсь проанализировать кусок вредоносного ПО из Интернета. Я обнаружил, что nemo browser и команда ls по-разному отображают имя файла вредоносной программы. ls отображает имена файлов IMG147pgj.exe , IMG148pgj.exe , IMG149pgj.exe , в то время как nemo показывает те же файлы, что и IMG147exe.jpg , IMG148exe.jpg , IMG149exe.jpg (эти файлы на самом деле являются исполняемыми файлами WIN32):

пример

Почему это и как это возможно?

EDIT1: результаты ls | od -c и ls -q по запросу.

Запрос

|источник

1 ответ1

1

Используемые байты (342 200 256 или E280AE в шестнадцатеричном формате) декодируются в utf8 как Unicode 0x202E, что является переопределением справа налево. После этого Nemo меняет местами все символы, в результате чего gpj.exe становится exe.jpg, а ваш терминал - нет.

Аналогично, проводник Windows изменил бы его, но все равно считал расширение, не обращая его, что привело к выполнению файла, который выглядит как jpg.

Поиск RLO покажет вам, что это известная техника вредоносного ПО.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .