前置き

最近のウィルスは良く出来ている。
特にソーシャルな部分が洗練されていてかなり侮れない。

トロイなんて実行させてしまえば exploit を狙う必要もなく勝ちなのだ。

中身的にはアイコン変える程度の普通のexeで良いわけだから、何をさせたいかもどうとでもできてしまうし、ウィルススキャナに引っかからないようにすることも簡単だ…。

「怪しい実行ファイルは開かない」なんて意識が出来ている人でさえ、それが実行ファイルだと認識できなければ一刺しでやられる鋭さがある。

これからは、ウィルスに対して更にシビアな意識が必要な時代になってきたようです。

トロイの木馬の偽装手法

見たり聞いたりしたことがあるところでは以下のようなものがあります。

で、これらを組み合わせられると結構馬鹿にならない鋭さで隙を突かれてしまいます。

偽装例

例えば、

というフォルダを作ると、エクスプローラでは以下のように見える。

果たしてこれらを見てもまだ、絶対に怪しいexeは開かないと断言できるだろうか?
こうして見てみると、玄人好み設定(?)である「登録されている拡張子は表示しない」をオフに設定したとしても余り意味を成していないことも分かってしまった。

自分でサンプル用のスクリーンショットを作っていながら、正直、絶対に開かないという自信が持てなくなった…orz

スクリーンショットはエクスプローラの表示方法の全てのケースを作ってみた。

縮小版

H.PNG

ファイル名の右下端の「...」が微妙に怪しさを発している。 でも、空白の長さの調整でより目立たなくすることは出来そう。

並べて表示

S.PNG

ファイル名の右下端の「...」が微妙に怪しさを発している。

アイコン

N.PNG

ぶっちゃけこれだけ見てexeとmp3の違いを判別することは不可能に近い。

一覧

L.PNG

ぶっちゃけこれだけ見てexeとmp3の違いを判断することは不可能に近い。

詳細

D.PNG

ファイル名の右端の「...」と、種類がアプリケーションとなってる辺りが怪しさを発しているが、普段これにちゃんと気付けるだろうか?

コメント



トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS