Word/PDF/写真? ウイルス偽装手口を画像で紹介 ファイル名・拡張子・アイコン画像のトリックを見破れ
 
同一の攻撃者がこしらえたコンピュータウイルス/マルウェア検体ファイルを収集したので、実際のイメージ画像を紹介します。 見た目でダマし踏み抜いてもらうテクニックがいっぱい!
 
イメージ 1
ユーザーをダマすテクニックに溢れるWindows向けウイルスの検体
 
■ 感染ターゲット … Windows PC のみで、Mac OS や スマホ は無関係
 
■ 攻撃対象地域 … 特に南米ブラジル (ファイル名にポルトガル語)
 
■ ウイルスの種類 … ブラジルのネットバンキング情報を盗み取るダウンローダ型トロイの木馬「Banload」
 
■ 感染経路 … ポルトガル語で書かれた迷惑メール(スパムメール)から本文中のリンク経由でダウンロードを誘導する
 
■ 攻撃手口 … スクリーンセーバー(拡張子 *.scr)や実行ファイル(拡張子 *.exe)をユーザーの意志でダブルクリックして起動させる自爆感染
 
★ 単語の意味
fotos = 写真 、 minhas = 私の 、novas = 新しい、informacoes = 情報

文書ファイルに偽装したウイルス

・ 意味のない文字列を付け足し、ファイル名を故意に長くすることで、エクスプローラ上ではファイル名の後ろ部分が「...」で省略表示される仕様から拡張子がうまく隠れる
 
・ Word文書(拡張子 *.doc)やPDF文書(拡張子 *.pdf)と勘違いさせるよう実行ファイルのアイコン画像を変更し偽装してる
 
■ MD5 99398e03248e731caab73e1c070214eb
informacoes.05.04.2015LJGNLJ54545548878SDFG4867SGS878DFSDG88448ESF.scr

■ MD5 7cee37bc2f9f082f402926626b3c5dc6
Informacoes_20151100015741118778754511157887782123187875415111000887412512887411285800.exe
 

画像ファイル(写真)に偽装したウイルス

・ エクスプローラの縮小表示で人物が写ってる写真(拡張子 *.jpg)と誤認させるよう実行ファイルのアイコン画像を変更し偽装する
 
・ ファイル名でも「写真」(ポルトガル語 fotos)であることをアピールする
 
・ 認知度が低いかもしれないスクリーンセーバーの拡張子 *.scr を指定することで、実行ファイル *.exe と同じようにダブルクリックすると感染アウト!
 
65e9afa2bb58b793c5c44bf81999e484 Fotos.scr
8bb409373f8b40794cf8dd31675c3195 MinhasNovasFotos.scr
337ce4d95eca25b3d0fc60c48c6d5d8b Minhas_Fotos.scr
2542af8fc47a5d544a2af91727cd50a7 Novas_Fotos.scr
 

ファイルの拡張子に注意を払わないユーザー?

いずれのファイルも日本人ユーザーを狙ったウイルスではありません。
 
ただ、国や言葉はどうでもよく、ファイルを偽装する様々な手口はWindowsパソコンを使ってる限り対岸の火事とはいかない共通部分になりますかぃ。
 
Windowsユーザーが『ファイルの拡張子に注意を払う』というのは基本的なウイルス対策として重要だけど、裏を返せばファイルの拡張子に注意を払わないユーザーもいるんよ。
関連するブログ記事