Wordファイルを「.exe」に書き換え リムーバブルワームの隠し機能

[ITmedia]

　ユーザー自身のWordファイルに感染し、こっそり実行可能ファイルに書き換えてしまうワームが、過去数カ月で相次いで登場しているという。セキュリティ企業のMcAfeeが12月26日のブログで伝えた。

　このワーム「Autorun.worm.i.gen」は、自動再生ファイル（AUTORUN.INF）を使い、リムーバブルメディア経由で感染することが知られている。しかし、実はユーザーやセキュリティ研究者でさえあまり知らない隠し機能があるという。

　AutorunワームはユーザーのMS Wordファイルに感染して拡張子を「.doc」から「.exe」に変え、Wordを実行可能ファイルに変形させてしまう。

ワームは感染したWord文書（.doc）を実行形式（.exe）のファイルに変え、さらにレジストリを書き換えてその拡張子を隠してしまう（McAfeeより）

　さらに、Windowsレジストリにも手を加えてファイル拡張子が表示されないようにしてしまうため、ユーザーには「.exe」の拡張子が見えず、最初のままのファイル名と「Microsoft Word Document」というWindowsのファイルタイプのみが見えている状態になる。

　感染ファイルをクリックすると、元のファイルをMS Wordで開く一方で、バックグランドでは悪質な機能が実行される。

　この手口は高度な技術を使ったものではなく、今後動画、音楽、HTMLなどのメディアファイルでも採用される可能性はあるとMcAfeeは解説している。