ファイル名を偽装したウイルスに注意、IPAが呼び掛け

[ITmedia]

　情報処理推進機構（IPA）は11月4日、ファイル名などを細工してコンピュータをウイルスに感染させる攻撃について注意喚起を行った。9月には、この手口を使った「RLTrap」というウイルスの検出が約5万件に上った。

　ファイル名を細工してウイルスを感染させる手口は、2006年ごろから度々確認されている。この手口ではUnicodeの制御文字を利用してファイル名の拡張子を偽装するなどし、悪意のあるファイルを安全な別の種類のファイルに見せかけてユーザーをだます。

ファイル偽装の一例。PDFファイルを装っているが、実行形式（.exe）となっている。出典：IPA

　IPAがRLTrapを解析したところ、Windows 7で動作することが分かったという。感染後にWindowsの特定のフォルダに「csrss.exe」という名前で自身のコピーを作成し、いったん実行されると自身のファイルを削除する。ロシアのあるWebサイトに接続を試みていた。だが解析時点では既にこのWebサイトは存在せず、仮に通信が行われると、別のウイルスをダウンロードして感染させるなどの可能性があった。

　対策としては、最新版のウイルス対策ソフトの利用や脆弱性の解消といった基本的な取り組みに加え、Windows 7でのUnicodeの制御文字の使用を制限するポリシーの導入を推奨している。