Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ファイル拡張子を偽装し、感染すると外部通信する「RLTrap」が大量発生

情報処理推進機構(IPA)は、ファイル名が偽装されたウイルス「RLTrap」を大量の検出したとの報告を受けたことから、注意喚起を行った。

9月に同機構へ約5万件の検出報告が寄せられたもの。同機構が10月初旬の時点でまとめた9月のウイルス検出数に関する届け出は2万1291件で、その2倍以上に上る検出について報告を受けたという。

今回の攻撃ではアイコン、拡張子を含むファイル名が偽装されており、ファイルの種類を見誤って、実行してしまうおそれがある。攻撃手法としては2006年より確認されているが、同機構は手口をあらためて紹介し、注意を呼びかけた。

ファイル名の偽装は、エクスプローラー上では不可視であるUnicodeの制御文字を挿入することで文字の順番を逆に表示できる機能を利用したもの。同機能は、右から左に読む言語で利用する機能で、「abc123fdp.exe」というファイル名を「abc123exe.pdf」と表示できる。

問題の「RLTrap」はzipにより圧縮され、メールで送り付けられていた。同機構が解析したところ、「Windows 7」で動作し、実行すると特定フォルダへ自身のコピーを作成した上で、自身を削除するなど隠蔽を行い、感染することがわかった。

感染後は、ロシアのウェブサイトと通信し、他マルウェアをダウンロードを試みる。ただし、すでに通信先のサイトは閉鎖されていた。

同機構では、制御文字を含むファイルの実行を防ぐ方法を同機構のサイトで紹介。またセキュリティ対策ソフトの利用と、OSやアプリケーションに含まれる脆弱性の修正といった基本的な対策が有効であるとして、対応を呼びかけている。

(Security NEXT - 2011/11/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

「ウイルスバスター」新版、モバイル版で詐欺対策を強化
「ダイヤモンド・プリンセス」運営会社から情報流出 - 2019年中ごろに発生
偽画面にだまされ、個人情報流出の可能性 - 東京防災救急協会
「ウイルスバスター」に新版 - リスト非依存の不正サイト判別機能を追加
法人向けウイルスバスターに後継製品、インシデント対応機能を統合
エフセキュア、セキュリティゲートウェイに新版 - HTTPS検査に対応
マカフィー、個人向け製品に新版 - パフォーマンス向上や家族向け機能
「ウイルスバスタークラウド」に新版 - 悪性JSファイルの検出強化
「NOD32」発売から15周年、記念パッケージをリリース
トレンド、「Deep Security」などに新版 - 500以上のルールでマルウェア見つける「検索機能」