IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > RLOを利用したファイル名の偽装

RLOを利用したファイル名の偽装

"Scan from a HP Officejet #xxxxxxx" のSPAMでRLOを使ってファイル名を偽装しているものがあります。

RLOとは Right-to-Left Override の略で、Unicodeの制御文字です。この制御文字はアラビア語のように 右から左へと文字を書いていくためのものです。この制御文字以降の文字は表示が右から左へと行われます。

実際にどのように表示されるかはWindowsのメモ帳を使って簡単に確認できます。

たとえば、abc.txt.exeという文字列を入力するとしましょう。 abc. まで入力したらここでマウスを右クリックし、「Unicode制御文字の挿入」というメニューを選びます。 そうするとさらにメニューが開きますので、そこにあるRLOの項目を選択してください。 入力したらそのまま、txt.exeと続けて入力します。 実際に入力された方はすぐわかると思いますが、入力は"abc.txt.exe"としたはずが、表示は"abc.exe.txt"と なっています。

これをファイル名に利用すると、一見拡張子はテキストなのに本当は実行可能なプログラム、というような偽装が 可能となります。

このようなファイル名偽装の手法は2007年頃にwinnyなどで流行していましたが、最近でもまだこの手法は利用 されています。

-
 
カテゴリー :
セキュリティ事件  
タグ :
Malware  
この記事のURL :
https://sect.iij.ad.jp/d/2011/11/095371.html