常与 Spear Phishing 配合使用
RLO
RLO是微软的中东Unicode字符(Middleeast Unicode)中的一个,Unicode编码为0x202E,其作用是强制其后的字符变为从右到左的方式显示,一般用于中东语言(如阿拉伯语)的强制显示,但是在非中东语言中Explorer遇到此字符仍然是默认右-左显示。
常见伪装方式
更改图标
更改程序图标,例如,病毒把自身的图标更改为文件夹图标,看起来非常像是一个文件夹,但是后缀仍然是.exe,很容易被识破。
相似字符
更改文件名字,例如kernel32.dll ,把英文l改为数字1,kerne132.dll。
俄语应用
hosts,把o改为俄文的o,很难识别。
使用RLO迷惑敌人
利用RLO可以让后缀名显示为任意字符,有极大的迷惑性,例如,我们有木马readtxt.exe, 在read 和txt.exe之间插入Unicode控制字符RLO,插入RLO之后,文件名已经显示为readexe.txt,再使用Resource Hacker 把图标修改为TXT文件的图标,exe文件摇身一变成了txt文件,一般人看到了会毫不犹豫的打开。
RLO其它应用方式
伪装重要注册表,伪造网址,光靠肉眼是完全识别不出来的。
防范
人工识别
打开文件前,仔细观察文件名有没有包含exe、bat等等较危险的关键字,这样做万无一失,但是很累。
主动防御软件
在电脑中安装主动防御软件,如果不小心打开了此类文件,软件会自动拦截,这样不能保证100%安全,因为好多病毒木马都是免杀的,不能保证100%成功拦截。
参考资料
[1] 病毒木马查杀实战
