最近McAfee Avert Labsには,リッチ・テキスト・ファイルにOLEオブジェクトとして埋め込まれた実行ファイルが大量に報告されている。通常こうした実行ファイルには,DOC(Microsoft Word文書)やPDF(PDF文書),TXT(テキスト文書)といった信頼できるファイル形式のアイコンと,言葉巧みに実行させるためのメッセージが付いている。
文書ファイルに埋め込まれた実行ファイルをクリックするユーザーは少ない。ただし,同じ実行ファイルでも,信頼できるまたは無害なファイル形式の拡張子が付いていたら,この“餌”にだまされるユーザーは多いだろう。初期設定状態のWindowsで実行ファイルを「Wordpad」にドラッグ&ドロップすると,以下に示す通りファイル名と拡張子がすべて表示される。
図1 RTFファイルに埋め込まれた実行ファイル |
図2 RTFファイル内の名前を変更した実行ファイル |
マウスを数回クリックし,埋め込まれたファイルのラベルを変更するだけで,埋め込まれたファイルをWordpadから開いて実行させるようにできる。当然,具体的な変更手順は当ブログに書かない。
[修正履歴]当初,「マウスを数回クリックし,埋め込まれたファイルのラベルを変更するだけで,Wordpadは起動時にこのファイルを実行するようになる」としていましたが,誤解を招きやすい表現だったため,修正しました。[2007.6.13]
ゼロデイ攻撃が広まっているような今どき,この悪質な実行ファイルの作者はなぜこうした古い手法を使っているのだろう。その答えは驚くべき内容だ。大抵のウイルス対策ソフトウエアが,リッチ・テキスト・ファイル(RTF)形式を解釈できないのである。試しに,ウイルス対策のテスト・ファイルeicar.comと,リッチ・テキスト化した同ファイルを,公開ウイルス検査サービスVirusTotalにかけてみた。
図3 VirusTotalの検査結果(eicar.com) |
図4 VirusTotalの検査結果(RTFファイルに埋め込んだeicar.com) |
元々のeicar.comはすべてのウイルス検査ツールが問題を見つけたのに対し,リッチ・テキスト・ファイルに埋め込んだものは30ツール中16ツールしか検出に成功していない。分かりやすく書くと,既知のマルウエアでもリッチ・テキスト・ファイルに埋め込めば,市販ウイルス対策ソフトの半分を欺けるわけだ。ウイルスの作者にとっては,フィッシングやスパムを実行する際の完璧な“隠れ蓑(みの)”となる。
犯罪者は“作品”を世間に流す際,ウイルス対策ソフトに対する厳しい“品質保証”を実施するものだ。そのことを考えると,この種の脅威が増えていることは驚くにあたらない。この手法がどの程度ソフトウエア的およびソーシャル・エンジニア的に有効かどうか判断するには,しばらく状況を見守る必要がある。最終的にどうなるか興味深い。
◆この記事は,
マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログ
McAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,
「Rich Text Malware」でお読みいただけます。