「社内PCのマルウェア感染調査」攻撃の背景に巧妙な拡張子偽装

社内PCにおけるマルウェア感染の調査を装った標的型攻撃が発生しているとして、6月1日にJPCERTコーディネーションセンターが注意喚起を行っているが、攻撃に用いられている巧妙な攻撃手法が明らかになってきた。

今回見つかった攻撃は、メールに添付されている「Virus Check.zip」ファイル内にあるWordドキュメントに偽装したファイル「Virus Checkrcs.doc」を起動することで、マルウェアに感染する手口。

同ファイルを分析したトレンドマイクロによれば、zip圧縮から展開した一見Wordドキュメントに見える「Virus Checkrcs.doc」のファイル名が偽装されているという。

同社によると、具体的にはファイルの末尾にある文字列「rcs.doc」が操作されているもので、これら文字列がUnicodeの制御文字により左右に反転されているという。左右反転させると「cod.scr」となり、実際の拡張子はスクリーンセイバーの拡張子となる。

（Security NEXT - 2010/06/03 ） ツイート

PR

関連記事

JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
「FireEye as a Service」が日本語対応 - 都内に対応センター設置
日本年金機構の個人情報漏洩に便乗する「個人情報削除詐欺」へ警戒を
ネットバンク利用者狙う「WERDLOD」 - 感染後常駐しない「設定変更型」
日本HPとDTRS、セキュリティ戦略立案からSOC構築まで対応するサービス
FFRI、ハニーポットでウェブ経由の感染を検知する標的型攻撃対策製品