日前一種新型木馬被截獲，木馬程序本身并不復雜，但病毒作者采用的欺騙手法卻十分高明。

該病毒在文件名中插入RLO控制符（注：RLO控制符是Unicode控制符的一種，用來顯示中東文字，從右到左書寫），使得字符顯示從右至左的順序，讓病毒程序的真實后輟名（.exe/.scr/.com等）被隱藏，偽裝后的病毒看起來是.jpg、.txt、.rmvb的文件，就連經(jīng)驗豐富的IT技術人員也輕易被騙。安全研究人員根據(jù)病毒的這個特點將其命名為逆名欺騙木馬。

一般的防毒經(jīng)驗中，會推薦用戶顯示已知文件的擴展名，以查看文件的真實擴展名，避免被病毒程序的圖標偽裝欺騙。

但逆名欺騙木馬，卻完全利用了對文件擴展名（后輟名）的信任。

分析發(fā)現(xiàn)逆名欺騙木馬的病毒文件名被人為插入了RLO控制符，使得文件名中的字符顯示是從右到左，而中國用戶的電腦顯示字符是從左到右的。RLO控制符用來顯示中東地區(qū)的某種文字。

用totalcmd觀察可以看到真實擴展名。

在Winrar中查看也和資源管理器一樣，很容易被騙。

雙擊打開這個假“文本”文件，結果病毒會創(chuàng)建一個真的TXT文件繼續(xù)蒙你。病毒作者騙術真是挺高明的。

【編輯推薦】

1. Qakbot傳播像蠕蟲 攻擊像木馬
2. 揭開綁架型木馬的“畫皮”
3. 剖析ZeuS木馬如何安全躲避僵尸網(wǎng)絡嗅偵
4. “360U盤保護”木馬泛濫 以安全名義威脅用戶隱私數(shù)據(jù)