Estou tentando analisar um malware da Internet. Descobri que o comando nemo browser e ls mostra o nome do arquivo do malware de diferentes maneiras. ls exibe os nomes dos arquivos IMG147pgj.exe , IMG148pgj.exe , IMG149pgj.exe , enquanto nemo mostra os mesmos arquivos que IMG147exe.jpg , IMG148exe.jpg , IMG149exe.jpg (esses arquivos são, na verdade, executáveis WIN32):
Porqueissoecomoissoépossível?
EDIT1:Resultadosdels|od-cels-q,conformesolicitado.
Os bytes que você vê usando (342 200 256 ou E280AE em hexadecimal) são decodificados em utf8 como Unicode 0x202E, que é a sobreposição da direita para a esquerda. Nemo de lá inverte todos os caracteres que levam o gpj.exe para se tornar exe.jpg, enquanto o seu terminal não o faz.
Da mesma forma, o Windows Explorer o reverteria, mas ainda assim leria a extensão sem invertê-la, liderando o que parece ser um jpg a ser executado.
A pesquisa por RLO mostrará que é uma técnica de malware conhecida.