[1247] The Mother of All Suspicious Files

Title Text:Better change the URL to ‘https’ before downloading.<

Origin:https://xkcd.com/1247/

https://www.explainxkcd.com/wiki/index.php/1247:_The_Mother_of_All_Suspicious_Files

保存对话框显示http://65.222.202.53的下载,这是一个IP地址,在最近一次攻击Tor匿名网络时托管了JavaScript恶意软件,文件标题非常长。其中使用的许多扩展指示可执行代码;多个文件扩展名有时用于将木马程序伪装成文档。

您还可以看到盗版电影的常见下载语法,黑客,可能包括对任何人撇毒都是恶意的,但实际上是关于黑客的电影,使其成为良性参考而非恶意。它被描述为“_BLURAY_CAM”,它与自身相矛盾(“_BLURAY”意味着它从蓝光光盘上的副本中被撕掉,而“_CAM”意味着它是通过将相机指向电影院的屏幕而被复制的)。 “_BLURAY_CAM”可能表示搜索关键字填充的假副本;虚假盗版媒体通常包含病毒(尽管在出现第一个真正的盗版拷贝之前,这更可能是新媒体的问题)。

URL包含路径“~tilde /pub /cia-bin /etc”。第一部分是名为“tilde”的用户的公共文件夹(也是〜符号的名称),“cgi-bin”是服务器端可执行文件的Web服务器上的公共文件夹(Randall将名称更改为“cia-bin”)和“etc”是配置文件的标准文件夹,通常不能通过Web服务器访问。程序“init.dll”根本不可执行,它是一个Windows动态链接库,无法独立运行,很少在URL中引用(即使这些语法仍在使用,即使在信誉良好的网站上也是如此(Google)搜索)或在eBay,这表明网络服务器是Microsoft ASP服务器)。问号表示参数列表的开头,在这种情况下,我们只有一个名为“FILE”。

“保存”按钮显示为灰色,表示已禁用;您只能单击“取消”按钮。出于安全原因,某些浏览器(如Firefox)会在启用它之前禁用“保存”按钮几秒钟。这可以防止用户在输入输入时意外接受下载,例如恶意CAPTCHA。

发送到服务器的完整内容,以“/~tilde …”开头,以“… out.exe”结尾,长度正好为256个字符。在HTML 3规范上,您有1024个字符的限制,而后来的HTML规范没有此限制;它只取决于Web服务器的功能。但直接在URL上发布参数仍然是一个更糟糕的选择。

参数的内容如下所示:

__(下划线下划线)在C编程语言中用来表示符号实际上不适合公共消费。

autoexec.bat – 一个批处理文件,它在MS-DOS和Windows操作系统启动期间自动运行,并且经常被病毒修改,病毒会添加恶意代码以在每次启动时运行。

我的%20OSX%20Documents – 引用Apple的OS X操作系统(%20表示URL中的空格,即它读作“我的OSX文档”)。

install.exe – 一个典型的安装程序。

.rar – 压缩归档文件类型。

.ini – 一种配置文件类型。

.tar – 一种在Unix和类Unix操作系统中很流行的文件存档。之前曾提到过tar。

.do莽x“.docx是Office Open XML文件,即Microsoft Word 2007及以上版本使用的文字处理格式,但没有cedilla(赂)。增加一个cedilla可能是对漏洞的一个参考,这些攻击依赖于罕见的角色被误认为看起来相似的更常见的角色,例如IDN单应性攻击。

.phphphp – 一个关于PHP文件的游戏,一种基于服务器的网页文件类型。 PHP最初代表“个人主页”,但后来被重新定义为递归缩写“PHP:Hypertext Preprocessor”。

.xhtml – 另一种网页文件类型。

.tml“代表Transducer Markup Language,一种基于XML的标记语言,用于指定如何捕获,标记时间和描述传感器数据。

.xtl – 可能是XHTML上的一个游戏。

.txxt – 播放.txt文件类型。

0DAY.HACK – 对零日漏洞的引用。 (与下一个条目重叠)

HACK.ERS_(1995)_BLURAY_CAM-XVID“是对1995年黑客电影的参考,但盗版电影可能是BLURAYRIP /DVDRIP或CAM,但不能同时进行,除非你用相机记录蓝光电影,因为它播放。

.exe – Microsoft Windows使用的可执行文件类型。

[SCR] – 电影海盗用来表示“筛选器”的标签,这是在剧院发行前给予评论家的电影的DVD副本。通常是当时可用的最高质量,罕见,因此对于病毒负载下载来说是好的诱饵。 “.scr”也是屏幕保护程序文件的扩展名,实际上只是一个具有不同扩展名的exe文件,也是传播受感染文件的经典方法之一。

Lisp“编程语言。

.msi – Microsoft Installer使用的安装文件。

.lnk – Microsoft Windows用于快捷方式的扩展名。扩展通常对用户隐藏。.lnk.zda.gnn – 参考链接,塞尔达和Ganon,塞尔达传说视频游戏系列的重要角色。

wrbt.obj?参考Dennis Nedry在侏罗纪公园用来关闭关键系统的代码行。

.o“链接器文件的扩展名,是编译C代码时创建的中介。

.h“C代码中头文件的文件扩展名。

.swf“Shockwave Flash文件类型。

.dpkg – Debian软件包管理,虽然软件包文件使用文件后缀.deb。

.app“是Mac OS X操作系统上的一个应用程序。

.zip压缩归档文件类型。

.co“哥伦比亚的顶级域名(TLD),但作为全球域名销售。有些国家/地区使用.co.TLD作为一般用途,例如: .co.uk在英国。但是TLD .gz不存在,因此.co.gz无效。

.gz – 使用GNU zip的压缩文件。

.a.out?在Linux或其他类Unix操作系统上创建可执行文件时的默认文件名(如果没有为编译器指定)。

标题文本建议从http更改为https,就像在下载之前加密可疑文件在某种程度上比未加密下载更好。 http(超文本传输​​协议)和https(超文本传输​​协议 – 安全)是获取网页和Web下载的两种常用协议。 http是简单的下载,而https添加了SSL加密层,因此除了最终收件人之外,任何人都无法查看正在下载的项目。将http更改为https是一种常见的建议,可以在从不安全的网络(例如公共WiFi热点)浏览网页时提高安全性,以避免监视或劫持恶意网站; Google会自动切换到所有邮件帐户的https,并开始通过搜索进行操作。最终收件人仍然会得到原件中的任何恶意,但是“加密它根本不会改变内容。”

漫画中引用的IP地址65.222.202.53目前正被一个JavaScript零日攻击的shellcode使用,用于由FBI运行的Tor浏览器套件通过clearnet [1]通过电话回家并对网站的访客进行去匿名化关于提供儿童色情制品的自由主持。 [2]

Leave a Reply

Your email address will not be published.

Categories