Wokół cyberbezpieczeństwa krąży wiele mitów, ale akurat w tym stwierdzeniu kryje się ogromna dawka prawdy. Choć z technicznego punktu widzenia sam plik wideo (taki jak prawdziwy format .mp4, .mkv czy .avi) nie ma możliwości samodzielnego uruchomienia złośliwego oprogramowania bez wykorzystania rzadkich i skomplikowanych podatności w odtwarzaczu, to hakerzy od lat stosują genialną w swojej prostocie sztuczkę. Sprawia ona, że użytkownik jest święcie przekonany, iż włączył film, podczas gdy w tle wykonuje się niebezpieczny skrypt.

Jak działa to oszustwo w praktyce?

Aby zrozumieć, dlaczego ten scenariusz jest tak realistyczny, musimy rozłożyć go na czynniki pierwsze. Cała sztuczka opiera się na manipulacji ludzką nieuwagą oraz domyślnymi ustawieniami systemów operacyjnych.

Krok 1: Kamuflaż, czyli film, który wcale nim nie jest

Prawdziwy plik wideo to tylko dane – odtwarzacz multimedialny odczytuje je i wyświetla obraz. Sam z siebie nie może uruchomić żadnego programu. Dlatego oszuści nie używają prawdziwych plików wideo jako „nosiciela” wirusa. Zamiast tego tworzą plik wykonywalny (np. z rozszerzeniem .exe, .bat lub skrót .lnk) i nadają mu ikonę odtwarzacza wideo.

W systemie Windows domyślnie włączona jest opcja „Ukrywaj rozszerzenia znanych typów plików”. Oznacza to, że jeśli plik nazywa się Avengers.mp4.exe, system wyświetli go użytkownikowi po prostu jako Avengers.mp4. Dla zwykłego oka wygląda to jak najzwyklejszy film.

Krok 2: Podwójne uruchomienie i odwrócenie uwagi

Gdy klikniesz dwukrotnie taki plik, uruchamiasz program napisany przez hakera. Abyś nie nabrał podejrzeń, program ten natychmiast robi dwie rzeczy jednocześnie:

1. Uruchamia prawdziwy film – najczęściej ukryty w tym samym folderze lub pobierany na bieżąco z sieci. Może on mieć niemal identyczną nazwę, np. różniącą się tylko jedną spacją (Avengers .mp4). Odtwarzacz się otwiera, film gra, a Ty myślisz, że wszystko jest w porządku.
2. Uruchamia złośliwy skrypt w tle – w ułamku sekundy, bez otwierania żadnych widocznych okien, system zaczyna wykonywać instrukcje hakera.

Krok 3: „Wirtualna klawiatura” i ukrywanie działania

Wspomniane „udawanie klawiatury” to w świecie IT tak zwana emulacja klawiatury lub wstrzykiwanie klawiszy (ang. keystroke injection). W wersji sprzętowej służą do tego specjalne pendrive'y (np. USB Rubber Ducky), które komputer wykrywa jako zwykłą klawiaturę USB i bez pytania o zgodę pozwala im „wpisywać” komendy z zawrotną prędkością.

W wersji programowej (czyli tej uruchamianej z fałszywego pliku wideo) haker nie potrzebuje nawet fizycznego urządzenia. Wystarczy prosty skrypt, np. w języku PowerShell lub VBScript, który system Windows traktuje jako zaufane narzędzie administracyjne. Taki skrypt potrafi:

• Uruchomić się w trybie całkowicie ukrytym (-WindowStyle Hidden), dzięki czemu na ekranie nie mignie nawet na sekundę czarne okno konsoli.
• Symulować wciskanie klawiszy lub bezpośrednio przesyłać komendy do systemu operacyjnego, aby pobrać i zainstalować właściwe złośliwe oprogramowanie z sieci.
• Wykonać operacje bezpośrednio w pamięci RAM komputera, co sprawia, że tradycyjne antywirusy mają ogromny problem z jego wykryciem.

Czy laik naprawdę może coś takiego stworzyć?

Niestety – tak, i to w kilka minut. W dobie powszechnego dostępu do narzędzi sztucznej inteligencji oraz gotowych generatorów skryptów, stworzenie takiego mechanizmu nie wymaga zaawansowanej wiedzy programistycznej.

Laik może poprosić sztuczną inteligencję o napisanie prostego skryptu w PowerShellu, który pobiera plik z sieci i go uruchamia. Następnie za pomocą darmowych, powszechnie dostępnych programów (np. konwerterów plików .bat do .exe) może połączyć ten skrypt z prawdziwym filmem i zapakować w jeden plik, przypisując mu ikonę np. programu VLC czy Windows Media Player. Cały proces jest prosty, intuicyjny i nie wymaga napisania ani jednej linijki kodu od zera.

Jak zwykły użytkownik może się przed tym obronić?

Choć brzmi to groźnie, ochrona przed tego typu atakami jest stosunkowo prosta. Wymaga jedynie wyrobienia kilku dobrych nawyków i odpowiedniej konfiguracji systemu.

1. Włącz pokazywanie rozszerzeń plików

To absolutny fundament bezpieczeństwa w systemie Windows. Domyślnie system ukrywa końcówki takie jak .exe, .bat czy .lnk. Aby to zmienić:

• Otwórz Eksplorator plików.
• Kliknij trzy kropki na górnym pasku (lub zakładkę Widok w starszych wersjach Windows).
• Wybierz Opcje, a następnie przejdź do zakładki Widok.
• Znajdź i odznacz opcję Ukryj rozszerzenia znanych typów plików.
• Kliknij Zastosuj.

Od teraz zawsze zobaczysz, czy Twój „film” to naprawdę film.mp4, czy może podstępny film.mp4.exe.

2. Zwracaj uwagę na rozmiar pliku

Prawdziwy film w dobrej jakości (HD lub 4K) zajmuje zazwyczaj od kilkuset megabajtów (MB) do kilku gigabajtów (GB). Jeśli pobrany przez Ciebie rzekomy film ma rozmiar 2 MB, 10 MB czy nawet 50 MB, na 99% nie jest to plik wideo, lecz złośliwy program.

3. Uważaj na pliki skrótów (.lnk)

Hakerzy bardzo często maskują złośliwe skrypty jako pliki skrótów. Jeśli pobierasz film (np. z sieci torrent) i widzisz plik z małą strzałką w lewym dolnym rogu ikony (oznaczającą skrót), nigdy go nie klikaj! Prawdziwy film nigdy nie potrzebuje skrótu do uruchomienia.

4. Korzystaj z piaskownicy (Windows Sandbox)

Jeśli pobrałeś plik z niepewnego źródła i koniecznie chcesz go sprawdzić, nie uruchamiaj go bezpośrednio na swoim systemie. Użyj funkcji Windows Sandbox (dostępnej w Windows Pro/Enterprise) lub darmowego programu typu VirtualBox. To całkowicie odizolowane środowisko – nawet jeśli uruchomisz tam wirusa, po zamknięciu piaskownicy zniknie on bez śladu, nie infekując Twojego prawdziwego komputera.

5. Zainstaluj solidny program antywirusowy

Współczesne programy antywirusowe (w tym domyślny Windows Defender) coraz lepiej radzą sobie z wykrywaniem podejrzanych zachowań, takich jak nagłe uruchamianie PowerShella w tle przez plik, który udaje wideo. Dbaj o to, aby Twój system i antywirus były zawsze zaktualizowane.

Ciekawostka: Sprytna sztuczka z odwracaniem znaków (RTLO)

Aby jeszcze bardziej uśpić czujność użytkowników, zaawansowani cyberprzestępcy korzystają ze specjalnego znaku Unicode o nazwie RTLO (Right-to-Left Override). Jest to niewidzialny znak kontrolny, który nakazuje systemowi wyświetlanie tekstu od prawej do lewej strony (używany np. przy pisaniu po arabsku).

Jak to działa? Haker tworzy plik o nazwie film_cod[RTLO]fdp.mp4. Dla systemu Windows jest to plik wykonywalny z rozszerzeniem .scr (ponieważ fdp odwrócone daje pdf lub scr/exe w zależności od kombinacji), ale na ekranie użytkownika nazwa wyświetli się jako film_cod4pm.mp4. To niezwykle podstępna metoda, przed którą chroni nas przede wszystkim czujność, włączone pokazywanie rozszerzeń oraz dobry program antywirusowy.