Curiosa manera de ocultar un malware

Estaba yo en el chat de Terra buscando… eh… haciendo… bueno, cosas no relacionadas y de repente veo:

01:24:38 < invitado-945999> my video sex sooo hot http://***.net/36975281

Y yo, que como todos sabéis soy muy obediente, voy y pincho. Es un rar con un nombre nada sospechoso: «sex video hoot.rar». Pues lo bajo y lo abro.

Un flv, o sea, un vídeo Flash. Hago doble clic y… no hay aplicación disponible para abrir el archivo. Puto VLC, ¿cómo no se te ha ocurrido asociarte con los flv?

Al igual que vosotros, yo ya me estaba oliendo que era un ejecutable escondido de algún modo, me voy a la terminal y miro qué clase de archivo es:

[neiko@dachau ~]$ file *flv
*flv: ERROR: cannot open `*flv’ (No such file or directory)

Qué dices. Si estaba ahí.

[neiko@dachau ~]$ ls my*
my video sex  vlf.scr

Errr. ¿Cómo que .scr? ¿No era .flv? A partir de ahí ya imaginé qué estaba pasando así es que me fui al Nautilus; al intentar renombrar un archivo te selecciona todo el nombre menos la extensión, tal que así:

Bueno, pues así se veía nuestro archivo:

Y el resto ya lo conocemos: es un carácter Unicode haciendo el chiste, dando la vuelta a esa parte del nombre de archivo e intentándome hacer creer que un scr (salvapantallas, a fin de cuentas un ejecutable más) es un inocente vídeo. Unicode es el infierno (lectura poco relacionada pero obligatoria).

Como nota curiosa, me dio por meter el carácter de marras en Google a ver si salía algo y me encontré con esto:

Anuncios

0 Responses to “Curiosa manera de ocultar un malware”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s





A %d blogueros les gusta esto: