前置き

最近のウィルスは良く出来ている。
特にソーシャルな部分が洗練されていてかなり侮れない。

トロイなんて実行させてしまえば exploit を狙う必要もなく勝ちなのだ。

中身的にはアイコン変える程度の普通のexeで良いわけだから、何をさせたいかもどうとでもできてしまうし、ウィルススキャナに引っかからないようにすることも簡単だ…。

「怪しい実行ファイルは開かない」なんて意識が出来ている人でさえ、それが実行ファイルだと認識できなければ一刺しでやられる鋭さがある。

これからは、ウィルスに対して更にシビアな意識が必要な時代になってきたようです。

トロイの木馬の偽装手法

見たり聞いたりしたことがあるところでは以下のようなものがあります。

  • 開きたくなるようなファイル名を付ける
  • 開いても大丈夫そうに見えるファイル名を付ける(例えばデフォルト設定だと「ほげ.mp3.exe」は.exeが隠されて「ほげ.mp3」に見える)
  • 開いても大丈夫そうに見えるアイコンを付ける(例えばmp3等に関連付いているMediaPlayerのアイコンを付けたexe)
  • 長いファイル名を付けて拡張子を確認しにくくする(ほげ.mp3           .exe)
  • 習慣と化した動作を狙い打つ(zip内にフォルダアイコンを付けたexeを仕込んでフォルダ階層を辿る勢いで実行させる)

で、これらを組み合わせられると結構馬鹿にならない鋭さで隙を突かれてしまいます。

偽装例

例えば、

  • 標準の音楽ファイルのアイコンが付いた、
  • 「浜崎あゆみ - HEAVEN                       .mp3.exe」という名前のファイルが、
  • 他のファイルに紛れている

というフォルダを作ると、エクスプローラでは以下のように見える。

果たしてこれらを見てもまだ、絶対に怪しいexeは開かないと断言できるだろうか?
こうして見てみると、玄人好み設定(?)である「登録されている拡張子は表示しない」をオフに設定したとしても余り意味を成していないことも分かってしまった。

自分でサンプル用のスクリーンショットを作っていながら、正直、絶対に開かないという自信が持てなくなった…orz

スクリーンショットはエクスプローラの表示方法の全てのケースを作ってみた。

縮小版

H.PNG

ファイル名の右下端の「...」が微妙に怪しさを発している。 でも、空白の長さの調整でより目立たなくすることは出来そう。

並べて表示

S.PNG

ファイル名の右下端の「...」が微妙に怪しさを発している。

アイコン

N.PNG

ぶっちゃけこれだけ見てexeとmp3の違いを判別することは不可能に近い。

一覧

L.PNG

ぶっちゃけこれだけ見てexeとmp3の違いを判断することは不可能に近い。

詳細

D.PNG

ファイル名の右端の「...」と、種類がアプリケーションとなってる辺りが怪しさを発しているが、普段これにちゃんと気付けるだろうか?

コメント

  • 怖っ、これオレ絶対開くよ… -- kazu? 2005-10-11 (火) 06:17:42
  • ファイラー使えば問題なし 普段から「あふ」使ってるからなあ -- 2007-08-28 (火) 22:13:40


添付ファイル: fileS.PNG 1241件 [詳細] fileN.PNG 187件 [詳細] fileL.PNG 165件 [詳細] fileH.PNG 159件 [詳細] fileD.PNG 155件 [詳細]

トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2007-08-28 (火) 22:13:39 (4122d)