프로그램 실행가능한 확장명(.bat .exe .cmd .com .lnk .pif .scr .vb .vbe .vbs .wsh .jar)을 속이고, 문서나 그림, 동영상 파일의 확장자(.pdf .jpg .avi .mp4)로 보이게 하는 악성 프로그램(랜섬웨어 바이러스)이 있다

유니코드 202e(Rright-to-Left Overrid)를 사용해서 확장명과 그 앞의 글자의 순서를 바꿔보이도록 하는 수법이다.


* 대처 방법

- 확장자 속이기(변조) 판별법

- 파일 속성을 보면 '응용 프로그램'으로 나옴


파일 탐색기에서 보기 옵션중 '자세히'나 '내용'을 선택



확장자는 mp4이지만 유형에서 '응용 프로그램'으로 표시되는 것을 볼수 있음

확장자로 보이는 mp4앞에 exe가 있음



파일을 선택후 'F2' 키를 눌렀을때 중간의 exe를 제외하고 선택된다면 확장자가 바꿔치기 된것이다


    - 원래 이름대로 보이게 수정(파일 이름 변경)
exe앞 입력된 보이지 않는 유니코드 문자를 지운다
    exe앞 위치에서 'Delete' 키를 누른다




//
Unicode Character (RTLO)'RIGHT-TO-LEFT OVERRIDE' (U+202E)
http://www.fileformat.info/info/unicode/char/202e/index.htm
UTF-8 (hex)     0xE2 0x80 0xAE (e280ae)
UTF-16 (hex)     0x202E (202e)



//참고
* 유니코드 문자 입력 방법
1. 문자표 실행 (Win키+R -> charmap)
    고급보기 체크 -> 유니코드로 이동 란에 유니코드 16진수 입력
    -> 나타난 문자 더블 클릭후 복사 버튼 클릭

2. 붙여넣기 할 대상으로 이동해서 Ctrl+V


반응형
Posted by codens