【文章摘要】特殊字符不仅会被用来开玩笑,还有可能带来严重的安全问题。
近期,腾讯电脑管家旗下哈勃分析系统发现,有不法分子利用一种名为“RTLO”的特殊字符,将带有木马文件的名字进行倒序排列,诱使不明真相的用户下载运行,达到窃取用户隐私的目的。
据了解,“RTLO”字符全名为“RIGHT-TO-LEFTOVERRIDE”,是一个不可显示的控制类字符,其本质是unicode 字符。“RTLO”字符可使电脑将任意语言的文字内容按倒序排列,最初是用来支持一些从右往左写的语言的文字,比如阿拉伯语,希伯来语。由于它可以重新排列字符的特性,会被不法分子利用从而达到欺骗目标,使得用户运行某些具有危害性的可执行文件。例如,通过将Windows自带的记事本notepad.exe程序重命名,先插入“RTLO”字符,加上“txt.exe”,最后就能成功伪装出一个“exe.txt”的普通文档,但文件仍是exe可执行文件。
(使用“RTLO”字符调整文件名)
众所周知,Windows操作系统中,扩展名表明了文件的类型,在“文件夹选项”中去掉“隐藏已知文件类型的扩展名”前面的选中状态后,就可以查看最后一个“.”字符后面的扩展名。利用特殊字符,如“RTLO”字符就能形成对文件名称的干扰,将恶意执行文件掩饰成无危险的可执行文件。此时,用户可在资源管理器中选择查看详细信息,这样就能够从“类型”一列中看出文件的真实类型。此外,有一些恶意木马也利用了这种手法,通过邮件发送类似名称的附件,诱导用户双击打开和运行,因此,遇到不明来源的邮件一定要提高警惕。
除了Windows资源管理器之外,浏览器也可能遭受类似的恶意攻击,其中不乏Firefox这样的大牌浏览器。此前FreeBuf.com曾报道,Android版Firefox上出现了一个漏洞,也是利用了这样的特殊字符,使得用户访问的网站和地址栏上显示的网站产生差异。不法分子可以通过这种方式制作假冒google的钓鱼网站,并在Firefox地址栏中显示正确的官方地址,诱导众多用户访问,最终达到窃取用户隐私的目的。目前,此漏洞已经在最新版的浏览器中被修复。
哈勃分析系统提醒,伪装成官方网站,通过刷搜索排名等方式诱导用户进入仿冒网站,并提供带木马的安装包,已成为木马精准传播的一大途径,建议用户注意分辨官网域名。此外,不法分子也会使用各种各样的招数进行恶意攻击,一些网上流传的防护手段,在特定的条件下也会失效,因此,最好还是使用腾讯电脑管家等安全类软件,对操作系统和浏览器进行防护。对于不放心的文件,可以上传到哈勃分析系统(https://habo.qq.com/)进行分析。
【关键词】腾讯电脑管家 RTLO字符 木马 哈勃分析系统