【危険】拡張子.cplファイル? コントロールパネルウイルス来襲の国は? ChePro

イメージ 1

ファイルの拡張子として .cpl というのが存在します。

これは Windowsパソコン の様々な設定を制御できる コントロールパネル(Control Panel) に付けられる拡張子だとか。

コントロールパネルの項目を使う機会はあっても、そのファイルの拡張子について意識することはほとんどないでしょう。

コントロール パネル ファイル (.cpl) の説明 - Microsoft
https://support.microsoft.com/ja-jp/help/149648/


ファイルのダブルクリックで起動!

.cpl ファイルのアイコンは、DLL ファイルと同じ歯車マークの図案になっていて、内部データには DLL ファイルに等しいです。

ただし、.dll ファイルと違って、.cpl ファイルの場合は Windows ユーザーさんがポチポチッとダブルクリックすると、それは ”起動” や ”実行” を意味します。

  • .dll ファイル → ダブルクリックしても起動しない

  • .cpl ファイル → ダブルクリックすると起動する

  • .exe ファイル → ダブルクリックすると起動する

拡張子 CPL なコントロールパネルウイルス!?

…ってことで、メールの添付ファイル、SNS経由のリンクでダウンロードさせることで、不正な CPL ファイルを起動させる攻撃手口が確認されてます。

地理的な位置だと、特に 南米ブラジル のユーザーを狙う時に採用されてるそう。

Trojan ChePro, the CPL Storm - Kaspersky
https://securelist.com/trojan-chepro-the-cpl-storm

不正なコントロールパネルファイルが添付されたスパムメールを確認 - トレンドマイクロ
https://blog.trendmicro.co.jp/archives/8348


コントロールパネル .cpl ウイルス

コントロールパネル .cpl のウイルス検体の実物を収集してみました。

イメージ 2
ファイルの種類 → コントロールパネル項目

ファイル名の言語に特徴があり、英語ではなく、ブラジルの公用語である ポルトガル語 が登場します。

  • Google ブラジル運営のSNS 「Orkut」 のアカウント情報を盗む
    (利用ユーザーのうち半数近くがブラジル人を占めるため)

  • ブラジルのネットバンキングの情報を盗み不正送金

セキュリティ会社カスペルスキーによると、攻撃者が cpl ファイルを好む理由は…

  1. cpl ファイルの危険性を Windows ユーザーさんが認識してない

  2. 一部のメールソフトは、添付ファイルの拡張子 .cpl をブロックしない

  3. 同一ファイルでも内部データの難読化・暗号化の処理で亜種を量産させて、セキュリティソフト の検出を迂回するのに都合がよい


日本では見かけないウイルス攻撃手口

日本の ウイルスメールの攻撃手口 として、アイコン画像を偽装した 実行ファイル(拡張子 .exe) や、スクリーンセーバー(拡張子 .scr) を開かせるのは、よく目にします。

一方、この cpl ファイルの攻撃は見かけた試しがない?

実行ファイルに注意を払うことはあっても、見慣れない cpl ファイルでは、何だかよく分からないが故にダブルクリックする危険性があって注意が必要です。