最終更新日 2017年9月23日
【画像】ショートカットウイルスの感染手口と無料対策 拡張子lnk表示されない
とある海外のサーバーに rar 形式の圧縮アーカイブがアップされてました。
このファイルをゲットして解凍・展開してみると、中から ショートカットファイル が確認できました。 



「新しいフォルダー」 → 比較用にコチラで作成
このショートカットの正体はいったい何?
- Windows XP/Vista/7/8/10 で影響アリ
Mac OS X、Android OS、iOS では動作しないファイル形式
- ユーザーに フォルダー と誤認させてダブルクリックを誘う
- ファイルの脅威は ショートカットウイルス
■ 不正なショートカットの処理内容
この不正なショートカットはどんな症状を起こすのか?
ファイルの [プロパティ] を確認してみると、次のような処理が確認できました。 


[リンク先(T)] に攻撃処理の内容が…
- Windows に最初から用意されてるスクリプト実行環境 Windows PowerShell を呼ぶ
- PowerShell スクリプトを介して外部ネットワークに接続を試み、マルウェアの実行ファイル本体をダウンロードしてきて起動する
この時、PowerShell が処理を行う内容は、実体としてのファイルが存在しません。
Windows のメモリ上で PowerShell スクリプトが処理されるため、セキュリティ用語だと 「ファイルレス マルウェア」「ファイルレス ウイルス」「ファイルレス攻撃」 なんて呼びます。 



ショートカットとは?
Windows ヘルプから引用すると…

ショートカットとは、コンピューター上にある項目(ファイル、フォルダー、プログラムなど)へのリンクです。作成したショートカットは、リンク先の項目に簡単にアクセスできるように、デスクトップやフォルダーのナビゲーション ウィンドウ(左側のウィンドウ)などの便利な場所に配置できます。
ショートカットのアイコンには矢印が表示されるため、元のファイルと区別できます。
■ 拡張子が表示されない!?
実は、ショートカットにも 「.lnk」 というファイルの拡張子が存在します。
- ショートカットの拡張子 .lnk を表示するには、手動で Windows のレジストリを変更 した上で、さらに反映するにはパソコンの再起動が必要
- ショートカットのアイコン画像は任意のイメージ画像を適用できるため、上のフォルダーほか、文書や写真っぽく見た目を偽装にできる
【ファイルがショートカットか見分けるポイント】
○ アイコン画像の左下に小さい 矢印マーク が表示される ← 見落とすリスク
○ ファイルの種類は 「ショートカット」 と表記される
そもそもショートカットウイルスは、Windows ユーザーさんに危険性が知られてるとは言い難く、攻撃手口を知らない限り 『不審なファイルを開かない』 といった精神論的なウイルス対策は太刀打ちできない脅威です。
<危なっかしい

ショートカットウイルスはメールから
ショートカットウイルスに出会う感染経路は?
やはり、迷惑メール(スパムメール) の添付ファイルで受け取る、あるいはメール本文中の誘導リンクからダウンロードさせるパターンが鉄板です。 

【ショートカットウイルス入手ルート その1】
メールで zip 形式など圧縮アーカイブを受信する
メール本文中の誘導リンクからダウンロードさせる
↓ ファイルの解凍・展開
中からショートカットファイルが登場
↓ ポチポチッとダブルクリック
ウイルス感染!
【ショートカットウイルス入手ルート その2】
メールで Word ファイル(拡張子 .doc/.docx)、リッチテキストファイル(拡張子 .rtf) などを受信する↓ ポチポチッとダブルクリック
Microsoft Word が起動して文章が表示される↓ 画像表示領域をポチポチッとダブルクリック
Windows のセキュリティ警告ダイアログが表示される
↓ [はい] ボタンを押す
埋め込まれたショートカットウイルスが起動して感染!
ファイルを開かせて感染行動を仕向けるため、結局はユーザーの心を操ることで攻撃の引き金を引かせることになります。
ショートカットウイルス向け無料対策
ショートカットウイルスは役割は?
- ショートカット単体で複数の攻撃処理を行うのは不可能
(重要な情報を盗む、ファイルを破壊する、とかムリ)
- メインのマルウェアを外部ネットワークからダウンロードしてくるダウンローダーとしての役目が多い
こうなると、不正なショートカットファイルは、Windows のシステムに用意さてる正規プログラムへ処理を放り投げる動作を行います。


- Windows PowerShell
- BITS バックグラウンド インテリジェント転送サービス
- Windows Script Host (JScript / VBScript)
- HTMLアプリケーション
- Windows Management Instrumentation (WMI)
これで悪評されるのを見越して、ファイアウォール を使って次の実行ファイルの外部通信(送信側、アウトバウンド)をあらかじめブロックしておくウイルス対策がけっこう有効です。 

- powershell.exe
- bitsadmin.exe
- wscript.exe
- mshta.exe
- cscript.exe
- cmd.exe
- WMIC.exe
これで、不正なショートカットファイルをうっかり踏み抜いても、攻撃の実害を大きく緩和したり、攻撃そのものを遮断されることが期待できます。 



ショートカットの脅威に関するページ
・ 日本の安全保障を狙った攻撃の手口 - エフセキュア
http://blog.f-secure.jp/archives/50707401.html
http://blog.f-secure.jp/archives/50707401.html
・ 標的型攻撃メールの傾向と事例分析 2013年 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/technicalwatch/20140130.html
https://www.ipa.go.jp/security/technicalwatch/20140130.html
・ システムを感染させるためにマルウェアが使うPowerShell - マカフィー
・ ショートカットに潜むランサムウェアにご注意ください - Sophos
https://nakedsecurity.sophos.com/ja/2016/08/03/
https://nakedsecurity.sophos.com/ja/2016/08/03/
・ The new .LNK between spam and Locky infection – Microsoft
https://blogs.technet.microsoft.com/mmpc/2016/10/19/
https://blogs.technet.microsoft.com/mmpc/2016/10/19/
コメント