ファイル名を偽装したウイルスに注意、IPAが呼び掛け

1 ：11/11/04 〜 最終レス ：11/11/20

情報処理推進機構（IPA）は11月4日、ファイル名などを細工してコンピュータをウイルスに感染させる攻撃について注意喚起を行った。
9月には、この手口を使った「RLTrap」というウイルスの検出が約5万件に上った。
ファイル名を細工してウイルスを感染させる手口は、2006年ごろから度々確認されている。
この手口ではUnicodeの制御文字を利用してファイル名の拡張子を偽装するなどし、悪意のあるファイルを安全な別の種類のファイルに
見せかけてユーザーをだます。
IPAがRLTrapを解析したところ、Windows 7で動作することが分かったという。
感染後にWindowsの特定のフォルダに「csrss.exe」という名前で自身のコピーを作成し、いったん実行されると自身のファイルを削除する。
ロシアのあるWebサイトに接続を試みていた。
だが解析時点では既にこのWebサイトは存在せず、仮に通信が行われると、別のウイルスをダウンロードして感染させるなどの可能性があった。
対策としては、最新版のウイルス対策ソフトの利用や脆弱性の解消といった基本的な取り組みに加え、Windows 7でのUnicodeの制御文字の
使用を制限するポリシーの導入を推奨している。
http://www.itmedia.co.jp/news/articles/1111/04/news060.html

2 ：

２

3 ：

3

4 ：

何年か前にウィルスに感染したアホ職員いたけど、あの騒ぎのあとどうなったんだろ

5 ：

ウイルスというとイカタコウイルス思い出すなぁ

6 ：

これってUACが反応するんじゃ？

7 ：

ローカルセキュリティポリシーの設定ってファイルに保存とかできる？
OS入れ直したらポリシー変更忘れそうなんだけど。

8 ：

とかイカタコの類か
画像とかpdfに偽造されたら間違ってクリックするかもな
わざわざ詳細でファイル形式の確認なんてしないし

9 ：

ファイルを開くソフトでちゃんと解析してないのが原因
糞プログラマーのせい

10 ：

http://news.nicovideo.jp/watch/nw140355
拡張子表示しろと言ってる情強気取りが笑える

11 ：

拡張子表示しとかないと、もっとローテクな奴でも直撃だからな。

12 ：

>>9
>ファイルを開くソフトでちゃんと解析してないのが原因
exe ファイルだよ？
なに言ってるの。

13 ：

右から左に読むアラビア語だったら、どうなるんだろ

14 ：

こういうファイルをクリックしたんだろ
MODEXE（モードエグゼ）プロデュース！！女子中学生オ丸見え動画！MOD？iva.EXE

15 ：

RLO Start of right-to-left overrideを知らないアホが滑稽

16 ：

(Nintendo 3DS)(ROMS)ロックマンEXE.zip

17 ：

アイコン偽装も絡むと見分け難い

18 ：

>>14
高給取りのApple社員が必死にこういうファイル名考えてるのかと思うと

19 ：

Unicodeのこの制御文字の機能をオフにするオプションをつけることが
出来れば良いだけだな。

20 ：

Win７だけじゃないよな。なんでさっさと対応策を出さないのか。特にXPhomeは手段が無い。MSのﾍﾟｰｼﾞにはXPProの事しか書いていない。
homeはどうすんだよ？＞ＭＳ。

21 ：

グループポリシーから出来るらしいが、俺のは7 home だ；；

22 ：

何というブーメラン

23 ：

Professional以上を買わない人へのお仕置き

24 ：

家電店で売ってるﾊﾟｿｺﾝのほとんどがhomeﾊﾞｰｼﾞｮﾝだけなのに？世間に潜在的な温床を作って放置かよ？お仕置き？ｽｺﾞｲ物言いだな。さすが捻くれてるＭＳ

25 ：

XP homeはレジストリ使えば対策設定できるんだが
肝心の7 homeはできない・・・
何か方法がないのか・・・

26 ：

感染対象の7で対策できないなんてw
制御文字だからこれ自体が脆弱性で無いにしても
対策をFixItあたりでMSが出して然るべき物だと思うんだが
どうせ大部分の人はRLOなんて必要ないんだから

27 ：

ファイル名を偽造できるとは
すごいセキュリティホールだな。
どうしてこんなのを放置した？

28 ：

たしかになんで放置してたんだろ・・・
unicode制御文字でファイル名偽装って、最初に話題になったのはVistaもまだ発売されてない頃だろ
あれから何年経ってんだ

29 ：

これまた「便利な機能」や「便利そうな機能」をつけると、
概してセキュリティホールを招くという法則に新たな実例が
付け加わったと言えるな。
バックスペースも、ニューライン無しのキャリッジリターンも
危ないのだろうな。

30 ：

Win7　homeでも、これでいけるんじゃないかな
1.GUIDを適当に作る。Webページで作れるところもある。
ttp://www.nowan.hu/guidgenerator.aspx
（例）{404ec33d-c39d-4eda-95f6-c99378e05183}
2.メモ帳を開いて、以下の5行を記載。手順1で作ったGUIDを利用する。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{404ec33d-c39d-4eda-95f6-c99378e05183}]
"Description"="Unicode制御文字による拡張子偽装対策"
"SaferFlags"=dword:00000000
"ItemData"="*?*"
Itemdata行は、半角で　"と打ち、* と打ち、右クリックしてUnicode制御文字の挿入→RLO、もう1度*と打ち、最後に"と打つ。
見た目は "*"* と見え、右クリックしてUnicode制御文字を表示すると "* "* と見えるはず。
3.rlo.regとでも名前を付けて保存。
4..rlo.regをダブルクリックして結合。（警告有るが実行）
5.適当なEXEファイルを調達してきて、RLOを含んだファイル名に変更して、実行してみる。グループポリシー制限ダイアログが出たら成功。

31 ：

書き忘れ
手順4と5の間に、Windows再起動が必要

32 ：

>>29
これはUnicodeの仕様の問題だと思う。

33 ：

7homeだとﾑﾘﾀﾞﾅ
xp homeはレジストリで何とかなるのに何なんだ？
脆弱性ではなく仕様を悪用されてるわけだからWindowsUpdateは必要ないかもしれないが
homeは家庭用として売ってるんだからMSはFixitなり簡単に対策できる方法を出すべきだと思う
一番無防備であろうhomeユーザーを放置はおかしいんじゃないか？
それともhomeユーザーには盗まれるような情報もないってか・・・

34 ：

直接的に影響はないからだろう
対策したらプロフェッショナル買った人の意味も薄れるし・・

35 ：

アラビア文字とか表示する時に困るだろ。
Unicode対応のエディタ使ってる人なら知ってると思うけど
「漢字アラビア文字漢字」
みたいなサンドイッチ状態で打ち込んでも
ちゃんとアラビア文字の部分だけ左右反転してくれはるねんで？
アラビア版Windowsはメニューとかも全部左右反転する。

36 ：

セキュリティポリシーでの対処はファイル名はRLOの意図通りに
表示はされるけどファイルを開こうとすると阻止するだけ
ファイル名のRLO制御部分を削除してやれば開くことも出来る
そのセキュリティポリシーでの対処がPro以上で可能
XPHomeはレジストリいじれば同等の対処が可能
7Homeは今のところ対処不可能な模様

37 ：

>>36
＞ファイルを開こうとすると阻止するだけ
そうなの？　Proはすごいなぁ。Home捨てるか…。(´・ω・｀)

38 ：

ファイル名にRLOが入っているとRLO制御がかかった状態で表示される
つまり日本人的には通常の左から右でない部分が含まれた表示
そのRLO制御どおり表示されても、たとえば実行ファイルの名前にRLOが入っていて
実行ファイルじゃないように見えているものを開こうとすると
RLO悪用対策のポリシーを導入している場合、警告ダイアログが表示されて
実行ファイルは実行されない
ここでは例として実行ファイルとしたが、ipaで紹介されている対策を行った場合
ファイル名にRLOが入っていたら問答無用で警告が出るようになっている
これがPro以上で出来てXPのHomeも小細工は必要だが出来る
ところが7のHomeでは出来ていない
HomePremium・・・XPHomeに負けているのに何がプレミアムなんだ
早くMSは対処法を公開しろよ・・・

39 ：

何故、7Homeでは動かないんだ

40 ：

参考まで
Win7 HomeでRLO偽装対策のセキュリティーポリシー設定をするには？
ttp://answers.microsoft.com/ja-jp/windows/forum/windows_7-security/win7/276d16b5-65fe-4b09-8fc0-7fa3331df74b

41 ：

まぴょーん、でお馴染み、ロリコン糞ワレ人間、岡田賢治氏が作ったのか?

42 ：

>>40
サンクス！　これからやってみる
しかし test-txt.exeがtest-exe.txtに偽装されて、アイコンがテキストだと開く自信がある

43 ：

>>40
小学生の妻がいる回答者が…

44 ：

総務省はWindows禁止

45 ：

じゃあ超漢字でw

46 ：11/11/20

まだあるの？ｗ