Una extensión de nombre de archivo es muy importante en el sistema operativo Windows y aparece al final del nombre del archivo. Windows no solo puede determinar instantáneamente qué tipo de formato de archivo, ya sea una imagen o una aplicación ejecutable, sino que Windows también puede decidir con qué programa iniciarlo en función de lo que está registrado en la lista de programas predeterminada.
En general, debe prestar más atención al formato de archivo ejecutable como .EXE .COM .SCR .BAT .VBS .PIF y .CMD porque puede ser malware en lugar de un programa legítimo. Por ejemplo, un libro electrónico que debería estar en una extensión PDF o EPUB no debería ser .EXE, aunque aún es posible si está envuelto con un compilador de libros electrónicos de terceros para protegerlo contra la distribución ilegal.
Dado que los usuarios de Windows son más cuidadosos con la extensión ejecutable y prestan menos atención a las extensiones más seguras, como los formatos de imagen, hay un par de maneras de engañar al usuario descuidado para que piense que un archivo EXE es un archivo de imagen JPG. 1. Ocultar extensiones para tipos de archivo conocidos
Hay una configuración en Opciones de carpeta donde puede ocultar la extensión del archivo para que solo el nombre del archivo esté visible en el Explorador mientras la extensión está oculta. El problema con esta configuración es que la opción predeterminada está configurada para ocultar y un usuario menos cuidadoso puede ser engañado cuando hay una doble extensión. Un ejemplo de una doble extensión es:
notes.txt.exe
El archivo anterior es en realidad un archivo ejecutable pero se muestra como notes.txt con el .exe oculto debido a la configuración de la Opción de carpeta. El siguiente paso para hacer que el archivo se vea más convincente es cambiar el ícono del archivo al ícono del Bloc de notas. Como puede ver en la imagen de ejemplo a continuación, parece un archivo de texto normal.
Si cambia el tipo de vista a "Detalles", se muestra muy claramente en Explorer que el llamado archivo notes.txt es en realidad una aplicación.
Puede confirmar esto más adelante haciendo clic derecho en el archivo, seleccionando Propiedades en el menú contextual y viendo el "Tipo de archivo" que debería mostrar Aplicación (.exe) .
Este es un truco muy antiguo y algunas aplicaciones antivirus como COMODO le avisarán cuando detecte una doble extensión en un nombre de archivo.
Una solución fácil para evitar caer en el truco de la doble extensión es deshabilitar la opción " Ocultar extensiones para tipos de archivo conocidos " desde el Panel de control> Opciones de carpeta> pestaña Ver.
2. Anulación de derecha a izquierda
Este truco usa unicode de derecha a izquierda para invertir los últimos seis caracteres para que la extensión sea falsificada. Por ejemplo, un archivo notes.exe puede renombrarse a notesexe.txt. Aunque la extensión del archivo se muestra claramente como .txt en Explorer, el sistema operativo Windows todavía reconoce el archivo como una aplicación.
Dado que el carácter de anulación de derecha a izquierda no se puede escribir desde el teclado y solo se muestra en el programa Mapa de caracteres que se encuentra en Windows, simplemente puede descargar un programa de terceros gratuito llamado BabelMap para generar el carácter RTLO para copiarlo al portapapeles y pegarlo cuando renombrar un archivo.
Afortunadamente, la mayoría de los principales navegadores web han avanzado para incluir en la lista negra el carácter de anulación de derecha a izquierda para que las extensiones de archivo correctas se muestren correctamente cuando un usuario intenta descargar el archivo con una extensión falsificada utilizando el truco RTLO. Aparte de eso, el uso de la vista "Detalles" en el Explorador puede serle de gran ayuda para determinar el tipo de archivo correcto.
3. Explotaciones de software
Una versión anterior de WinRAR 4.20 es vulnerable a la suplantación de nombre de archivo y extensión. Esto significa que puede modificar el archivo ZIP creado por WinRAR 4.20 usando un editor hexadecimal para mostrar un nombre de archivo y una extensión diferentes en la GUI, pero otra extensión diferente cuando se ejecuta directamente desde el programa. Un ejemplo es un archivo notes.exe comprimido en un archivo notes.zip usando WinRAR 4.20. Luego, utilizando un editor hexadecimal, vaya al final del archivo y modifique notes.exe a notes.txt.
Al abrir el archivo notes.zip en WinRAR 4.20 ahora se mostrará el archivo archivado como notes.txt falsificado en lugar de notes.exe.
Al hacer doble clic en el archivo falso de WinRAR GUI, se ejecutará el archivo como aplicación. Sin embargo, las personas que extraen el archivo estarán a salvo de esta vulnerabilidad de suplantación de identidad ya que verán que se está extrayendo un archivo ejecutable (.exe), no un archivo de texto (.txt).
WinRAR 5 y superior ha sido parcheado de este exploit. Por lo tanto, siempre es recomendable mantener actualizado su software, incluso si no es una aplicación relacionada con Internet.
