21419 Letture

Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi

Tutte le versioni di Windows, per impostazione predefinita, non permettono di visualizzare le estensioni dei file la cui tipologia è nota al sistema operativo. In altre parole, Windows non mostra le estensioni per tutti quei tipi di file che sono ampiamente noti ed utilizzati (EXE, JPG, GIF, AVI, MP3 e così via).
Il risultato che si ottiene accedendo alla finestra Computer (o Risorse del computer) quindi ad una cartella qualunque è piuttosto simile al seguente:

Per ciascuna tipologia di file (in questo caso, alcune immagini, un documento ed un file in formato PDF), Windows non mostra l'estensione corrispondente ma si limita a visualizzare l'icona del programma utilizzato per l'apertura di ciascun elemento.

Windows non visualizza le estensioni dei file che già conosce e per i quali esiste un'associazione estensione-applicazione all'interno del registro di sistema. In Windows Vista e Windows 7, per scoprire l'elenco delle estensioni che il sistema oprativo considera "conosciute", è sufficiente digitare modifica il tipo di file associato nella casella Cerca programmi e file del pulsante Start quindi premere Invio.

In Windows XP, basta accedere al Pannello di controllo, fare doppio clic sull'icona Opzioni cartella quindi accedere alla scheda Tipi di file:

Tutte le estensioni indicate in queste due finestre, corrispondono alle tipologie di file che il sistema operativo considera già conosciute.


Il nostro suggerimento è quello di visualizzare le estensioni dei file in Windows abilitandone l'esposizione dalla finestra delle opzioni di una qualsiasi cartella. Come avevamo evidenziato tempo fa nell'articolo Sicurezza: minacce, difese e consigli tecnici, molti malware usano anteporre alla loro reale estensione una seconda (falsa) estensione.
Supponiamo di avere a che fare col file nomemalware.mp3.exe. Dal momento che il sistema operativo conosce l'estensione .EXE, per impostazione predefinita non la visualizza. Ecco, quindi, cosa vede l'utente nel caso del file nomemalware.mp3.exe:

L'utente potrebbe essere indotto a ritenere che il file sia un brano musicale memorizzato nel formato MP3 e persuaso, quindi, ad effettuare un doppio clic. In realtà, accorgendosi dell'indicazione "Applicazione" (in luogo di "Audio formato MP3"), si dovrebbe subito percepire odore di bruciato.

Per evitare di cadere in qualche trappola, è quindi sempre bene attivare la visualizzazione dell'estensione dei file. Per procedere, in Windows Vista e Windows 7, dalla finestra Computer è necessario premere il tasto ALT in modo da far comparire il menù File, Modifica, Visualizza, Strumenti,.... Dal menù Strumenti, si dovrà selezionare la voce Opzioni cartella, scegliere la scheda Visualizzazione quindi togliere il segno di spunta da Nascondi le estensioni per i tipi di file conosciuti:

In Windows XP la procedura è identica (non si deve neppure premere il tasto ALT).

C'è però un'altra tattica che gli sviluppatori di malware hanno già da tempo iniziato ad utilizzare. La problematica era stata inizialmente evidenziata dai tecnici di Avast che, nell'analizzare le modalità di diffusione del malware "Unitrix", hanno messo alla luce l'impiego di un particolare trucco, spesso, purtroppo, molto efficace.

Windows, così come altri sistemi operativi, permettono la corretta visualizzazione anche di quei testi che sono redatti utilizzando modalità di scrittura sinistrorse. In arabo, in ebraico od in neoaramaico, ad esempio, si scrive da destra verso sinistra (scruttura sinistrorsa) mentre l'italiano, ovviamente, come molte delle lingue occidentali, è destrorso.

Nel sistema di codifica Unicode (assegna un numero univoco ad ogni carattere indipendentemente dalla lingua, dalla piattaforma informatica e dal programma usati), c'è un codice (U+202E) che consente di "rovesciare" una stringa di caratteri. Windows chiama questo speciale carattere (invisibile), "Forzatura da destra a sinistra":

È possibile accedere a tale carattere, in Windows, digitando Mappa caratteri nella casella Cerca programmi e file del pulsante Start:

I tecnici di Avast hanno scoperto che il carattere U+202E viene utilizzato per trarre in inganno gli utenti circa la reale "identità" di un file, soprattutto sui sistemi dove la casella Nascondi le estensioni per i tipi di file conosciuti è stata correttamente disattivata.

Si provi a copiare in memoria, nell'area degli Appunti di Windows, il carattere U+202E: dopo averlo individuato nella mappa dei caratteri, si dovrà semplicemente fare clic sul pulsante Copia.

Dopo aver creato una cartella temporanea, vi si copi un qualunque file eseguibile (noi abbiamo utilizzato l'eseguibile della calcolatrice di Windows calc.exe copiandolo dalla directory c:\windows\system32).

Si prema quindi il tasto F2 per rinominare il file eseguibile e si digiti, ad esempio of monsters and men 3pm.exe.

Si sposti quindi il puntatore prima di 3pm.exe e si utilizzi la combinazione di tasti CTRL+V per copiare il carattere U+202E precedentemente salvato in memoria.

Il nome del file si trasformerà così, "magicamente", in of monsters and men exe.mp3. All'apparenza sembrerà trattarsi di un normale file MP3 ma, facendovi doppio clic, si avvierà regolarmente la calcolatrice di Windows!


Massima attenzione deve essere quindi riposta ai file che si scaricano e che ci si appresta di aprire sul proprio computer. Oggetti all'apparenza innocui possono celare pericolose insidie.
Nel caso in cui si nutrissero dei dubbi circa l'identià di un file, soprattutto se proveniente da fonti insicure, è sempre bene sottoporlo ad una scansione con più motori antivirus utilizzando ad esempio il servizio VirusTotal. Suggeriamo anche l'applicazione presentata nell'articolo Scansione virus e malware con più motori diversi senza inviare nulla a VirusTotal per sottoporre a scansione uno o più file senza inviare alcunché, online, a VirusTotal.


  1. Avatar
    Alexa
    07/11/2012 23:45:12
    Ottimo articolo, veramente illuminante! :approvato:
Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi - IlSoftware.it