【画像】ショートカットウイルスの感染手口と無料対策拡張子lnk表示されない

最終更新日 2017年9月23日

【画像】ショートカットウイルスの感染手口と無料対策拡張子lnk表示されない

とある海外のサーバーに rar 形式の圧縮アーカイブがアップされてました。

このファイルをゲットして解凍・展開してみると、中から ショートカットファイル が確認できました。

「新しいフォルダー」 → 比較用にコチラで作成

このショートカットの正体はいったい何？

Windows XP/Vista/7/8/10 で影響アリ
Mac OS X、Android OS、iOS では動作しないファイル形式
ユーザーに フォルダー と誤認させてダブルクリックを誘う
ファイルの脅威は ショートカットウイルス

■ 不正なショートカットの処理内容

この不正なショートカットはどんな症状を起こすのか？

ファイルの [プロパティ] を確認してみると、次のような処理が確認できました。

[リンク先(T)] に攻撃処理の内容が…

Windows に最初から用意されてるスクリプト実行環境 Windows PowerShell を呼ぶ
PowerShell スクリプトを介して外部ネットワークに接続を試み、マルウェアの実行ファイル本体をダウンロードしてきて起動する

この時、PowerShell が処理を行う内容は、実体としてのファイルが存在しません。

Windows のメモリ上で PowerShell スクリプトが処理されるため、セキュリティ用語だと「ファイルレスマルウェア」「ファイルレスウイルス」「ファイルレス攻撃」なんて呼びます。

ショートカットとは？

Windows ヘルプから引用すると…

ショートカットとは、コンピューター上にある項目（ファイル、フォルダー、プログラムなど）へのリンクです。作成したショートカットは、リンク先の項目に簡単にアクセスできるように、デスクトップやフォルダーのナビゲーションウィンドウ（左側のウィンドウ）などの便利な場所に配置できます。
ショートカットのアイコンには矢印が表示されるため、元のファイルと区別できます。

■ 拡張子が表示されない!?

実は、ショートカットにも「.lnk」というファイルの拡張子が存在します。

ところが、Windows のデスクトップやエクスプローラー上では、この拡張子 .lnk が表示されることはなく、必ず省略される仕様が存在します。

＜拡張子に注意を払うウイルス対策が通用しない！

ショートカットの拡張子 .lnk を表示するには、手動で Windows のレジストリを変更した上で、さらに反映するにはパソコンの再起動が必要
ショートカットのアイコン画像は任意のイメージ画像を適用できるため、上のフォルダーほか、文書や写真っぽく見た目を偽装にできる

【ファイルがショートカットか見分けるポイント】
○ アイコン画像の左下に小さい 矢印マーク が表示される ← 見落とすリスク
○ ファイルの種類は「ショートカット」と表記される

そもそもショートカットウイルスは、Windows ユーザーさんに危険性が知られてるとは言い難く、攻撃手口を知らない限り『不審なファイルを開かない』といった精神論的なウイルス対策は太刀打ちできない脅威です。

＜危なっかしい

ショートカットウイルスはメールから

ショートカットウイルスに出会う感染経路は？

やはり、迷惑メール（スパムメール） の添付ファイルで受け取る、あるいはメール本文中の誘導リンクからダウンロードさせるパターンが鉄板です。

【ショートカットウイルス入手ルートその1】
メールで zip 形式など圧縮アーカイブを受信する
メール本文中の誘導リンクからダウンロードさせる
　↓ ファイルの解凍・展開

中からショートカットファイルが登場
　↓ ポチポチッとダブルクリック

ウイルス感染！

【ショートカットウイルス入手ルートその2】
メールで Word ファイル（拡張子 .doc/.docx）、リッチテキストファイル（拡張子 .rtf）などを受信する

　↓ ポチポチッとダブルクリック

Microsoft Word が起動して文章が表示される

　↓ 画像表示領域をポチポチッとダブルクリック

Windows のセキュリティ警告ダイアログが表示される
　↓ [はい] ボタンを押す

埋め込まれたショートカットウイルスが起動して感染！

ファイルを開かせて感染行動を仕向けるため、結局はユーザーの心を操ることで攻撃の引き金を引かせることになります。