ハッカーが偽のファイル拡張子で悪意のあるプログラムを偽装する方法

ファイル拡張子は偽装することができます。拡張子 .mp3 を持つファイルは、実際には実行可能プログラムである可能性があります。ハッカーは、特別な Unicode 文字を悪用してファイル拡張子を偽装し、テキストを強制的に逆の順序で表示することができます。

また、Windows はデフォルトでファイル拡張子を非表示にします。これも初心者ユーザーがだまされるもう 1 つの方法です。picture.jpg.exe のような名前のファイルは無害な JPEG 画像ファイルとして表示されます。

「Unitrix」エクスプロイトによるファイル拡張子の偽装

Windows にファイル拡張子 (下記を参照) を表示するよう常に指示し、それに注意を払っていれば、ファイル拡張子に関連した悪ふざけからは安全だと思うかもしれません。ただし、ファイル拡張子を偽装する方法は他にもあります。

Unitrix マルウェアによって使用されたことにちなんで、アバストによって「Unitrix」エクスプロイトと呼ばれたこの手法は、Unicode の特殊文字を利用してファイル名の文字の順序を逆にし、ファイル名の途中に危険なファイル拡張子を隠します。ファイル名の末尾近くに、無害に見える偽のファイル拡張子を追加します。

Unicode 文字は U+202E: Right-to-Left Override で、プログラムにテキストを逆の順序で表示するように強制します。これは明らかに一部の目的には役立ちますが、おそらくファイル名ではサポートすべきではありません。

基本的に、ファイルの実際の名前は「[U+202e]3pm.SCR によってアップロードされた素晴らしい曲」のようなものになります。特殊文字を使用すると、Windows はファイル名の末尾を逆に表示するため、ファイル名は「RCS.mp3 によってアップロードされた素晴らしい曲」として表示されます。ただし、これは MP3 ファイルではなく、SCR ファイルであり、ダブルクリックすると実行されます。 (危険なファイル拡張子のその他の種類については、以下を参照してください。)

この例は、特に欺瞞的であると思われるクラッキングサイトから引用したものです。ダウンロードするファイルには注意してください。

Windows はデフォルトでファイル拡張子を非表示にします

ほとんどのユーザーは、インターネットからダウンロードした信頼できない .exe ファイルは悪意がある可能性があるため、起動しないように訓練されています。また、ほとんどのユーザーは、一部の種類のファイルが安全であることを知っています。たとえば、image.jpg という名前の JPEG 画像がある場合、それをダブルクリックすると、感染する危険なく画像表示プログラムで開くことができます。

問題が 1 つだけあります。Windows はデフォルトでファイル拡張子を非表示にします。 image.jpg ファイルは実際には image.jpg.exe である可能性があり、これをダブルクリックすると、悪意のある .exe ファイルが起動します。これはユーザーアカウント制御が役立つ状況の 1 つです。マルウェアは管理者の許可がなくても損害を与える可能性がありますが、システム全体を危険にさらすことはできません。

さらに悪いことに、悪意のある個人が .exe ファイルに任意のアイコンを設定できる可能性があります。標準の画像アイコンを使用した image.jpg.exe という名前のファイルは、Windows のデフォルト設定では無害な画像のように見えます。 Windows では、よく見るとこのファイルがアプリケーションであることがわかりますが、多くのユーザーはこれに気づきません。