UnicodeのRLOを悪用したウイルス「RLTrap」が凄い件

Unicodeの制御文字を使いファイル名偽装、ウイルス「RLTrap」検出報告5万件 -INTERNET Watch

独立行政法人情報処理推進機構(IPA)は4日、「RLTrap」というウイルスの検出報告が9月に約5万件寄せられたと発表した。同ウイルスで使われているファイル名を偽装する手口を紹介し、注意を呼び掛けている。
ファイルの拡張子を偽装して実行ファイルではないように見せかけるなど、ファイル名を偽装する手口は以前から存在しており、IPAによれば2006年ごろにはすでに確認されていたという。
今回、大量に検出報告があったRLTrapでは、Unicodeの制御文字である「RLO(Right-to-Left Override)」を使うことでファイル名を偽装する。制御文字とは、文字コードで定義される文字だが、画面には表示されず、プリンターや通信装置などを制御するために用いられる。RLOは、文字の並びを右から左に変更するためのもので、アラビア語などを使う際に用いられる。
(以下略)

UnicodeのRLOを悪用したウイルス「RLTrap」が面白いかも。
久々に感心したニュースです。
世の中には頭のいい人もいますね。

そんな訳で、自分でもRLOの文字反転を早速試してみました。

Unicode RLO RLTrap notepad 1.pngUnicode RLO RLTrap notepad 2.png
まずはWindowsXPを起動して、メモ帳を実行。
メニュー[書式]の[フォント]を開いて、フォントが「FixedSys」なのを確認します。
次にメモ欄を右クリックし、「Unicode制御文字の挿入」にある「RLO Start of right-to-left override」を選択。

Unicode RLO RLTrap notepad 3.png
そうするとこのように半角スペースのような物が表示されます。
これがRLO制御文字で、この文字以降の分が右から左に表示されるようになります。

Unicode RLO RLTrap notepad 4.png
例えば、「hoge fdp.txt」の用に書いてみて、これをファイル名として保存。

Unicode RLO RLTrap notepad 5.png
保存したファイルをWindows上で見てみると、「hogetxt.pdf」という感じで、実際はテキストファイルのままでも、ぱっと見はPDFファイルに見えてしまいます。
これがEXE形式の実行ファイルでアイコンまで偽装されてた日には・・・、普通に踏んでしまいウイルス感染間違い無しですな。

いや~、これは面白い。
見た目の拡張子にとらわれると、痛い目に遭う事もあるんですねぇ。
2006年ごろからはあったらしいですが、今までお目にかかる事がありませんでしたよ。
こういう物もあるという感じで気をつけておかねば。

Unicode標準入門Unicode標準入門
トニー グラハム 関口 正裕

翔泳社 2001-05
売り上げランキング : 466940

Amazonで詳しく見る
by G-Tools

| コメント(0) | トラックバック(0) |
■Yahoo!オークション おすすめ商品■
Web Services by Yahoo! JAPAN

トラックバック(0)

トラックバックURL: http://type-y.com/mt/mt-tb.cgi/1814

コメントする