画像ファイル? 起動したら実行ファイルな拡張子偽装RLTrapの手口
 
マルウェアをホスティングしてる海外の不正なサーバー(日本とは別に関連性ない)から圧縮ファイルをゲット!
 
解凍してみたら、中身がJPEG形式の画像ファイルです。
 
イメージ 1

cexe.jpg
拡張子が *.jpg なので画像ファイル!
 
って思って、仮にもこのファイルをダブルクリックしたらドボン!
 
エクスプローラの表示方法を切り替えてみると、ファイルの種類が「JPG ファイル」ではなく「アプリケーション」となってます。
 
イメージ 2
 
アラビア語のような右から左に向かって文章を表記する制御文字RLOを悪用し、ファイル名の見た目に偽装が施されてます。
 
cgpj.exe
アイコン画像も偽装! 実際にはWindows用実行ファイル!
ファイル名に細工を施されたウイルスに注意! 見た目でパソコン利用者をだます手口 (IPA 情報処理推進機構)
https://www.ipa.go.jp/security/txt/2011/11outline.html
 
アェウルマたし用使をedocinU edirrevO tfeL ot thgiR (エフセキュア)
http://blog.f-secure.jp/archives/50624752.html
WinRAR と 7-Zip の圧縮ファイルマネージャーでの見え方はこんなん。
 
イメージ 4
 
ファイルをオンラインスキャンサイト VirusTotal に放り投げる。
 
> www.virustotal.com/ja/file/10e50c27c0df1e282125add08b2ee745253b8bdf43f73ecc64d46cde7bcd0648/analysis/1411562773/
 
イメージ 3
 
挙動情報には、ポーランド .pl (148.81.111.121) に接続するということで検索したら正体はこれ?
Palevo Botnet C&C IP address :: 148.81.111.121 (Palevo Tracker)
https://palevotracker.abuse.ch/?ipaddress=148.81.111.121

「PALEVO」がもたらす情報収集やDDoS攻撃などの脅威 (トレンドマイクロ)
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=PALEVO+Worm+Leads+to+Info+Theft%2c+DDoS+attacks