ハッカーはファイル名を『安全』なファイルの拡張子に取り替える

ペイパーインストールにおいて Unicode 機能がコンピュータを感染するために悪用される

2011年9月7日チェコ、プラハ - 「見たものは必ずしも得るものではない」、特別な言語表示の機能を悪用したマルウェアの新しい流行は、人々をだまして『安全』であるはずのファイルを開かせてしまいます。新しい手法はUnicode (テキストを表示するためのコンピュータ業界の基準) を悪用し、実行できるマルウェアを.doc や .jpg などの拡張子をつけて『安全』なファイルと見せかけることです。これはAVAST Software の解析者により "Unitrix" と名づけられました。

Unicode の特徴は、アルファベットをアラビア語やヘブライ語のように右から左へと表示させるよう設計されていて、0x202E (right-to-left override) のような特別な隠れたコードがファイル名に追加された後、表示されたテキストを 入れ替えます。例えば “gpj.exe” で終わっている実行可能なマルウェアは受取人側では無害のような “photo_D18727_Collexe.jpg” として表示されます。


ソース: AVAST ウイルス研究所

「普通のユーザはファイル名の一番最後の拡張子だけみる。例えば jpg だから写真だろうと。そこに落とし穴があるんだ」と AVAST ウイルス研究所の所長であるJindrich Kubec は言います。「このファイルが実行ファイルであるかどうかを知る方法は、コンピュータのどこかに追加の詳細が表示されているかどうかを、またはファイルを実行して警告が表示されるかどうかしかないんだ」

AVAST ウイルス研究所は8月中に検知数に着実な増加を確認しました。1日に25,000に達したときもありました。「Eメールのメッセージとトラフィックのパターンから見て、これは明らかにビジネスをターゲットにしている」とKubec は言います。攻撃はもっぱら平日に行われていて、週末になると1日の検知数が5,000以下に下がります。

もっとも典型的な Unitrix ファイルはいくつかの URL アドレスに接続するマルウェアのダウンローダーで、のちにコマンドやコントロールセンターとして機能するものです。「50以上のサンプルの解析結果によると、感染したユーザにさまざまなマルウェアを送信する機能のあるペイパーインストールネットワークの一部であることが確認されています」とKubec は説明します。Unitrix についての追加情報はAVAST ブログ でご覧いただけます。

「多くの誤検知を誘発する可能性があるので、今のところこれに関して一般的で万能な検知法を製作するのは不可能なんだ。しかし絶対に処理方法が見つかるはずだ」とKubec は力説します。そしてアバスト! ユーザは以下の2つの方法で保護されていると指摘します:

  1. 受信メールのファイル名にこのトリックが使用されているときの簡易的な検知機能
  2. ファイルシステム内でアバスト! は自動的に怪しいファイルを仮想環境である 自動サンドボックス内 で開くよう提案する

「問題はUnicode の機能にある。仕様書にはセキュリティに関して暗に匂わせてはいたけれど、人々は設計されたとおりに実装して誰も気にも留めなかった。 ほかのアンチウイルス製品のラボで指摘され続けてきたが、やっと広く知られるようになったんだ」とKubec はいいました。