Viejo truco que engaña a Win7

Según se ha podido leer en el blog de F-Secure uno de los trucos más antiguos para ocultar un archivo con malware y conseguir que el usuario lo ejecute haciéndolo aparecer como un fichero de otro tipo se sigue funcionando en Windows 7. Este truco es posible por la función que hace que en Windows se oculte la extensión de los archivos reconocidos y la posibilidad de modificar el icono del archivo. Un fallo con sus salvedades.

En el el blog oficial de F-Secure concluyen que Windows 7 falla e incluso que apesta, si nos atenemos a los nombres de fichero de las imágenes que acompañan el post). La razón es que sigue siendo vulnerable a uno de los trucos más viejos para camuflar un programa con código malicioso: el de utilizar una doble extensión para el archivo. Windows, por razones en realidad puramente estéticas y poco explicables, oculta las extensiones de los archivos ejecutables. Eso permite ocultar la verdadera naturaleza de una aplicación tal y como explican en el blog de la manera siguiente.

Disponemos de un programa malware a ocultar llamado horrible_malware.exe. Lo primero es modificar el icono del programa, proceso que podemos hacer de forma sencilla con cualquier utilidad de edición de iconos que podemos encontrar en la web. En nuestro caso se ha usado el icono del bloc de notas, porque se camuflará como un archivo de texto aparentemente inofensivo.

Lo siguiente es simplemente renombrar el fichero de forma que el nombre completo sea horrible_malware.txt.exe. Cuando visualicemos el archivo con el explorador de Windows aparecerá el archivo con el inofensivo icono del bloc de notas, que en teoría indica que es un archivo de texto, y la extensión aparece como .txt. Es un truco que funciona desde Windows NT y que hasta ahora sigue funcionando en Windows 7.

¿Es un fallo grave? Lo cierto es que no tanto, a menos que uno sea realmente despistado. En primer lugar en el explorador de Windows, y tal y como aparece en la captura, a la derecha del nombre del fichero aparece claramente el tipo de archivo que es, en este caso Application. Por otro lado, si el archivo lo hemos descargado de Internet, al intentarlo abrir haciendo doble clic si hemos "picado" y creemos que es un fichero de texto o de otro tipo, el sistema nos advertirá que estamos abriendo un archivo ejecutable. Es decir que existen barreras de seguridad adicionales para prevenir problemas de seguridad de los más despistados.

Esto no quita que pueda ser una fuente de problemas, aunque sea mínima. Recientemente Microsoft ha eliminado la posibilidad de que una memoria USB pueda lanzar un ejecutable al ser insertado en el ordenador, por lo que es posible que se puedan tomar medidas ante este problema que insistimos no parece ser muy preocupante. La limitación a una sola extensión o el que se advierta al usuario cuando se abra el archivo con doble extensión puede ser una posible solución.