nemo и ls показывают разные имена файлов

Question

nemo и ls показывают разные имена файлов

Я пытаюсь проанализировать кусок вредоносного ПО из Интернета. Я узнал что nemo браузер и ls Команда покажет имя файла вредоносной программы по-разному. ls отображает имена файлов IMG147pgj.exe, IMG148pgj.exe, IMG149pgj.exe, в то время как nemo показывает те же файлы, что и IMG147exe.jpg, IMG148exe.jpg, IMG149exe.jpg (эти файлы на самом деле являются исполняемыми файлами WIN32):

Почему это и как это возможно?

EDIT1: результаты ls | od -c а также ls -q как просили.

0

linux filenames ls nemo

Источник

burtek 06 май '17 в 11:21

1 ответ

Решение

Другие вопросы по тегам linux filenames ls nemo

user2313067 07 май '17 в 08:58 2017-05-07 08:58 · Accepted Answer · 2017-05-07 08:58

Используемые байты (342 200 256 или E280AE в шестнадцатеричном формате) декодируются в utf8 как Unicode 0x202E, что является переопределением справа налево. Nemo оттуда меняет все символы, что приводит к тому, что gpj.exe становится exe.jpg, а ваш терминал - нет.

Аналогично, проводник Windows изменил бы его, но все равно считал расширение, не обращая его назад, что привело к выполнению файла, который выглядит как jpg.

Поиск RLO покажет вам, что это известная вредоносная техника.