- 26 May 2024
- 50
- 21
Herkese merhaba. Bugün Windows işletim sistemindeki zararlı yazılım yapan kişilerin kullandığı RLO (Right-to-left-override) yani sağdan sola geçersiz kılma taktiğini ve tehlikelerini anlatacağım.
RLO taktiğine geçmeden önce bilmeyenler için dosya uzantılarını anlatacağım.
İşletim sistemlerinde, dosya türlerini ayırt eden uzantılar vardır. Bu uzantılar, bilgisayarın hangi dosyanın ne olduğunu anlaması için çok önemlidir. Dosya uzantıları, şu şekilde gözükür:
Belge.docx
Dosya adı
. (Nokta) = İsim ile uzantıyı ayıran karakter
Dosya Uzantısı
Windows işletim sisteminde bilinen dosya uzantıları varsayılan olarak gizlidir. Bu aşırı büyük bir güvenlik riskidir ve tarihte bazı virüslerin çok büyük hasar vermesine sebep olmuştur. Örneğin: ILOVEYOU virüsü. Bu virüs VBS dosyası biçimindeydi ama yapan kişiler sonuna .txt eklediği için ve Windows'ta bilinen dosya uzantıları kapalı olduğu için çoğu kişi bunun aslında bir metin belgesi olduğuna inanıyordu.
----------------------------------------------------
Şimdi size virüs yapan kullanıcıların dosya uzantılarını gizlemek için kullandığı bazı yöntemleri göstereceğim.
Belge.pdf.exe -> En bilinen taktiktir ama dosya uzantıları kapalı ise tehlikelidir.
Belge.pdf.scr -> Scr dosyası ekran koruyucusudur fakat exe ile aynı görevi görür.
Belgexe.pdf -> RLO taktiği kullanılarak gizlenmiştir. Dosya uzantısı exe dir. En zor anlaşılanıdır.
-Kısacası şöyle açıklayayım: Virüs yapan kişiler dosyanın adını Belgepdf.exe gibi birşey yapıyorlar. Daha sonra dosya adında "p" harfinden önce sağ tıklayıp unicode kontrol karakteri yerleştir tuşuna basıyorlar. Oradan RLO'yu seçiyorlar. RLO karakteri pdf ile exe nin yerlerini değiştiriyor. Bu şekilde dosya uzantısı exe kalıyor ama gözle görüldüğünde PDF olarak gözüküyor. EXE dosyasının simgesini de pdf dosyası yapıyorlar. RLO taktiği çok tehlikelidir ve kullanılmaktadır. RLO, herhangi bir dosya türüne uygulanabilmektedir.
Genelde "Extension Spoofer" ile adlandırılan RLO taktiğini otomatik olarak uygulayan programlar vardır. Bu programlarla RLO taktiği daha kolay uygulanabilmektedir.
Nasıl korunuruz?
Dosyaya sağ tıklayarak özelliklerini açtığınızda, dosya türünde eğer uygulama yada ekran koruyucusu görürseniz sakın o dosyayı açmayın. Genellikle RLO taktiği eposta üzerinden gönderilen sahte belge yada faturalar ile kullanılmaktadır. Ayrıca, her ne olursa olsun bilinen dosya uzantılarını gizle ayarını kapatın ve bilmediğiniz yerlerden gelen dosyaları antivirüs programınız ile taratın. Okuduğunuz için teşekkür ederim.
RLO taktiğine geçmeden önce bilmeyenler için dosya uzantılarını anlatacağım.
İşletim sistemlerinde, dosya türlerini ayırt eden uzantılar vardır. Bu uzantılar, bilgisayarın hangi dosyanın ne olduğunu anlaması için çok önemlidir. Dosya uzantıları, şu şekilde gözükür:
Belge.docx
Dosya adı
. (Nokta) = İsim ile uzantıyı ayıran karakter
Dosya Uzantısı
Windows işletim sisteminde bilinen dosya uzantıları varsayılan olarak gizlidir. Bu aşırı büyük bir güvenlik riskidir ve tarihte bazı virüslerin çok büyük hasar vermesine sebep olmuştur. Örneğin: ILOVEYOU virüsü. Bu virüs VBS dosyası biçimindeydi ama yapan kişiler sonuna .txt eklediği için ve Windows'ta bilinen dosya uzantıları kapalı olduğu için çoğu kişi bunun aslında bir metin belgesi olduğuna inanıyordu.
----------------------------------------------------
Şimdi size virüs yapan kullanıcıların dosya uzantılarını gizlemek için kullandığı bazı yöntemleri göstereceğim.
Belge.pdf.exe -> En bilinen taktiktir ama dosya uzantıları kapalı ise tehlikelidir.
Belge.pdf.scr -> Scr dosyası ekran koruyucusudur fakat exe ile aynı görevi görür.
Belgexe.pdf -> RLO taktiği kullanılarak gizlenmiştir. Dosya uzantısı exe dir. En zor anlaşılanıdır.
-Kısacası şöyle açıklayayım: Virüs yapan kişiler dosyanın adını Belgepdf.exe gibi birşey yapıyorlar. Daha sonra dosya adında "p" harfinden önce sağ tıklayıp unicode kontrol karakteri yerleştir tuşuna basıyorlar. Oradan RLO'yu seçiyorlar. RLO karakteri pdf ile exe nin yerlerini değiştiriyor. Bu şekilde dosya uzantısı exe kalıyor ama gözle görüldüğünde PDF olarak gözüküyor. EXE dosyasının simgesini de pdf dosyası yapıyorlar. RLO taktiği çok tehlikelidir ve kullanılmaktadır. RLO, herhangi bir dosya türüne uygulanabilmektedir.
Genelde "Extension Spoofer" ile adlandırılan RLO taktiğini otomatik olarak uygulayan programlar vardır. Bu programlarla RLO taktiği daha kolay uygulanabilmektedir.
Nasıl korunuruz?
Dosyaya sağ tıklayarak özelliklerini açtığınızda, dosya türünde eğer uygulama yada ekran koruyucusu görürseniz sakın o dosyayı açmayın. Genellikle RLO taktiği eposta üzerinden gönderilen sahte belge yada faturalar ile kullanılmaktadır. Ayrıca, her ne olursa olsun bilinen dosya uzantılarını gizle ayarını kapatın ve bilmediğiniz yerlerden gelen dosyaları antivirüs programınız ile taratın. Okuduğunuz için teşekkür ederim.
Son düzenleme: