Per impostazione predefinita, tutte le versioni di Windows, comprese le più recenti, si astengono dal visualizzare le estensioni dei file.
Windows non mostra le estensioni per tutti quei tipi di file che sono ampiamente noti e utilizzati (JPG, GIF, AVI, MP3 e così via) ma anche per i file eseguibili come EXE, COM, BAT.
In altre parole, di default Windows non mostra le estensioni per le tipologie di file conosciute: il risultato che si ottiene accedendo alla finestra Questo PC, Computer o Risorse del computer e aprendo una cartella qualunque è simile al seguente:
Per ciascuna tipologia di file (in questo caso, alcune immagini, un documento ed un file in formato PDF), Windows non mostra l’estensione corrispondente ma si limita a visualizzare l’icona del programma utilizzato per l’apertura di ciascun elemento.
Visualizzare le estensioni dei file in Windows
Windows non visualizza le estensioni dei file che già conosce e per i quali esiste un’associazione estensione-applicazione all’interno del registro di sistema.
In Windows 7, per scoprire l’elenco delle estensioni che il sistema operativo considera “conosciute”, è sufficiente digitare modifica il tipo di file associato
nella casella Cerca programmi e file del pulsante Start quindi premere Invio.
In Windows 10 basta digitare Scegli un’app predefinita per ogni tipo di file nella casella di ricerca del sistema operativo.
Il nostro suggerimento è quello di visualizzare le estensioni dei file in Windows accedendo alla finestra delle opzioni di una qualsiasi cartella.
Per procedere rapidamente, indipendentemente dalla versione di Windows in uso, si può premere la combinazione di tasti Windows+R
e digitare control folders
.
Alla comparsa della finestra in figura, basterà fare clic sulla scheda Visualizzazione quindi togliere il segno di spunta dalla casella Nascondi le estensioni per i tipi di file conosciuti.
Confermando mediante la pressione del pulsante OK, Windows provvederà a visualizzare le estensioni dei file, di qualunque tipo essi siano, quindi anche quelli conosciuti al sistema operativo.
Perché è importante visualizzare le estensioni dei file in Windows
Ancor oggi molti malware usano anteporre alla loro reale estensione una seconda (falsa) estensione.
Supponiamo di avere a che fare con il file nomemalware.mp3.exe
. Dal momento che il sistema operativo conosce l’estensione .EXE, per impostazione predefinita non la visualizza. Ecco, quindi, cosa vede l’utente nel caso del file nomemalware.mp3.exe
:
L’utente potrebbe essere indotto a ritenere che il file sia un brano musicale memorizzato nel formato MP3 ed è così indotto a farvi doppio clic senza riflettere troppo.
In realtà, accorgendosi dell’indicazione “Applicazione” in luogo di “Audio formato MP3“, si dovrebbe subito sentire “odore di bruciato”.
Per evitare di cadere in qualche trappola, è quindi sempre bene – come visto in precedenza – chiedere a Windows di mostrare l’estensione dei file.
Attenzione all’utilizzo dei caratteri Unicode che abilitano la scrittura da destra verso sinistra
La tattica è nota da tempo ma a più riprese gli sviluppatori di soluzioni software per la sicurezza ne riparlano a seguito della scoperta di nuovi campioni malware che ne fanno uso.
Windows, così come altri sistemi operativi, permette la corretta visualizzazione di quei testi che sono scritti da destra verso sinistra.
In arabo, in ebraico e in neoaramaico si utilizza appunto una modalità di scrittura sinistrorsa mentre l’italiano, ovviamente, come molte delle lingue occidentali, è destrorso.
Nel sistema di codifica Unicode nel quale viene assegnato un codice univoco a ogni carattere indipendentemente dalla lingua, dalla piattaforma informatica e dal programma usati, c’è un codice (U+202E
) che consente di “rovesciare” una stringa di caratteri.
Windows chiama questo speciale carattere (invisibile), “Forzatura da destra a sinistra” o “Right-to-Left Override“:
Provate a digitare Mappa caratteri nella casella di ricerca di Windows.
Cercate quindi il carattere U+202E
fintanto che tale codice non viene visualizzato nella barra inferiore della finestra Mappa caratteri.
A questo punto cliccate su Seleziona quindi sul pulsante Copia: il carattere speciale verrà così copiato in memoria, negli appunti di Windows.
Create quindi una cartella temporanea e copiatevi il file C:\Windows\System32\calc.exe
: si tratta, ovviamente, della calcolatrice di sistema.
Rinominate il file calc.exe
premendo il tasto F2 scrivendo foto_vacanze_rel
quindi premere CTRL+V
per incollare il carattere speciale copiato in memoria precedentemente e, infine, continuare scrivendo gpj.exe
.
Si otterrà un file che solo l’apparenza sembra avere estensione .JPG ma che in realtà altro non è che un eseguibile. Basta farvi doppio clic e non comparirà nessuna immagine, bensì la calcolatrice di Windows.
Portandosi nella finestra delle proprietà del file (tasto destro, Proprietà), in corrispondenza della dizione Tipo di file, si leggerà sempre la reale tipologia del file selezionato.
Di solito è poi possibile modificare l’icona dell’eseguibile in modo da tendere una trappola ancora più efficace. Usando l’icona che Windows mostra di default per le immagini, si possono destare ancora meno sospetti e l’utente, con buona probabilità, avvierà il file eseguibile, il file JavaScript (.JS), lo script PowerShell (.PS*) o il batch (.BAT) malevoli.
Il carattere U+202E
viene utilizzato per trarre in inganno gli utenti circa la reale “identità” di un file, soprattutto sui sistemi dove la casella Nascondi le estensioni per i tipi di file conosciuti è stata correttamente disattivata.
Va detto, inoltre, che alcuni programmi (software di messaggistica e client email in primis), potrebbero non accorgersi del “giochetto” con il carattere speciale U+202E
. Come ha spiegato Kaspersky, per esempio, il software Telegram Messenger per sistemi desktop – al momento della stesura del presente articolo – cade in errore.
Quello mostrato da Telegram Messenger (vedi immagine sopra) non è un file PNG ma un JavaScript, con estensione .JS.
Massima attenzione deve essere quindi riposta ai file che si scaricano e che ci si appresta di aprire sul proprio computer. Oggetti all’apparenza innocui possono celare pericolose insidie.
Nel caso in cui si nutrissero dei dubbi circa l’identità di un file, soprattutto se proveniente da fonti insicure, è sempre bene sottoporlo a una scansione con più motori antivirus utilizzando ad esempio il servizio VirusTotal.
A questo proposito, consigliamo la lettura dell’articolo Verificare se un file è infetto prima di aprirlo.