| RLO.java | Kildekode |
| RLO.class | Java-program |
| virus.exe | Eksempelvirus (ufarlig) |
| run.cmd | Programstarter |
| poc.zip | Hele pakken |
Det viser seg at man ved å legge inn to tegn (U+202d1, U+202e2) i et filnavn kan overstyre retningen tegnene skrives (som i arabisk etc.), og dermed la det se ut som om en fil har en annen filtype enn egentlig. Dette er et problem mtp. spam og malware, som dukker opp i tide og utide. Epostklienter vil i mange tilfeller ikke presentere filnavnet som det bør (Eksempler til høyre fra hhv. SquirrelMail og One.com webmail), og filen vil dermed kunne oppfattes av mottaker som en ufarlig fil. RLO/LRO går ut på at man snur selve fil-extensionen (.exe, .doc, etc.) og legger til et falsk til slutt. Strukturen på filnavnet vil være: [navn].[ext1].[ext2] der ext1 er den opprinnelige extensionen bak frem, og ext2 er en annen tilsynelatende ufarlig filtype. Programmet over viser hvordan man kan gjøre navneendringen enkelt med et javaprogram.
Eksempel: fil.pdf blir til fil.pdf.doc ved endring. (Egentlig fil.fdp.doc, hvor fdp blir presentert motsatt vei ("arabisk"), filnavnet snus tilbake av programmet) Merk at operativsystemet fortsatt vil oppfatte denne filen som en PDF - og i eksempelet med en kjørbar fil vil denne også være kjørbar etter navneendring.
Idé: Krebs On Security
September 2011
poc.zip
MD5 : d5189bd251c24181616f58883ee49cf2
SHA1 : 69d626bd59f052e6842f16b69c599053f7c14ae4
SHA256: e2c0e5221a312f90d9d6bee9ade2663b4e326a67190323e2ee49d423ebdbabb3
1. U+202d er Left-To-Right Override i Unicode
2. U+202e er Right-To-Left Override i Unicode
Før og etter kjøring
