Hallo,

ich habe heute in einem Vortrag über den Staatstrojaner FinSpy von einer Verreitungsmethode via E-Mail gehört, die ich gerne verstehen würde. Und zwar wurde dort ein Bild gezeigt, auf dem der E-Mail Anhang gespiegelt war, um genau zu sein der Name der Datei.
Ein Beispiel wie das gemeint ist: Anstelle von gpj.redlibsbualru.exe lautet der Name jpg.urlaubsbilder.exe

Das sollte laut Vortrag durch einen bestimmten ASCII Hack möglich sein. Dadurch zeigt Windows auch ein Bilder Icon dafür an, führt es aber bei einem Doppelklick als EXE aus.

Da ich dieses Verfahren noch nicht kannte, hab ich versucht über Google was rauszufinden. Leider ohne Erfolg, da ich wahrscheinlich nicht die richtigen Stichworte hatte. Ich werde auch noch den Vortraghalter kontaktieren, aber parallel hier die Anfrage.


Kennt jemand eine Quelle oder den Name für die Täuschungsmethode?

Es heißt Right to Left Override (RTLO). Es wird mit dem Ascii zeichen 202E (Hex) gemacht.

Eher versucht man sowas wie *exe.jpg zu machen
Da bin ich erst neulich richtig drauf reingefallen => http://www.trojaner-board.de/133185-...ml#post1043203

Hab das aber nur unter (x)ubuntu und Windows7 hinbekommen.