Winny(Shareも)ウイルス偽装最前線

皆さんもご存じだと思いますが、
Winnyでの機密ファイル漏洩が連日ニュースで取り上げられ、
大きな問題になっております。

Winnyや Shareのウイルスは、
キンタマウイルス山田ウイルスの 2種類。
# 仁義なきキンタマや、山田オルタナティブなどの亜種が存在します。
両方ともパソコン内のデータをインターネット経由で公開します。

感染経路は
1. Winnyで落した exeファイルの実行
2. CD/DVDの isoイメージ自動実行
この2つ。
2.は特殊なケースで、ほとんどが 1.でやられています。

流通しているウイルスは exeや scrなどの実行ファイルですが、
何かしらの偽造がされているのが普通。
最近はアイコンを偽造し、拡張子も偽造したファイルが広まっています。
これがすごい。びっくりした。

ファイルを偽装する手法はUnicodeの「RLO(Right to Left Override)
を使用するというもの。
文字を右から左に記述する言語(アラビア語やヘブライ語など)に
対応するための制御文字 U+202Eを、ファイル名の途中に挿入し、
“.exe”などの実行ファイルを”.txt”や “.html”などの
無害な拡張子に見せかけます。


実際のファイル名:バク美の秘密(制御文字)txt.exe
表示ファイル名:バク美の秘密exe.txt
# 制御文字以降のファイル名を右から左に表示します。

Winnyは Unicode未対応ですが、
アーカイブに仕込めば問題なし。

Windowsはファイル名にUnicodeを使用しているため、
簡単にテストができます。興味がある人はテストしてみて下さい。
テスト方法は以下の通り。

1. エクスプローラにてファイル名を右クリック
2. 名前を変更(M)をクリック
3. ファイル名の編集状態になるので、制御文字を挿入したいところを左クリックして、右クリック
4. Unicode制御文字の挿入(I)にマウスカーソルを移動し、
5. RLO Start of right to left override を選択(クリック)

これで制御文字を挿入でき、
ファイル名を右から左に入力できるようになります。
拡張子をファイル名の真ん中に持ってこれる。

ちなみにこんなこともできる。

googleで RLOテスト
http://www.google.co.jp/search?hl=ja&q=%E2%80%AE%E3%82%B3%E3%83%B3%E3%83%9E

がはは。すげー。

ダウンロードしてきたファイルの判断を目視ですることはお勧めしませんが、
最後の砦として「ファイルの種類」で判断できます。
「ファイルの種類」表示したい方は、
エクスプローラのメニューにある表示(V)で詳細(D)を選択しましょう。

っていうか Winnyとか Shareとか使うな。

関連リンク:
ウィニー対策で10億円
#077 ミクシィ(mixi)についてケツ毛バーガーについて喋っています。)

Category: 雑談
このエントリーは RSS 2.0 feedによってフォローすることができます。 You can skip to the end and leave a response. Pinging is currently not allowed.
3 Responses
  1. てりぃ より:

    いやー世の中いたちごっこですね。よく考えたもんだ。勉強になります。っていうかbitcometヘビーユーザーです;

  2. 台湾の話をする予定でしたが、 mixiの話が膨らみすぎた。 ので、 旅のツールとしての mixiの話をしました。 mixiの達人である森さんに いろいろ教…

  3. 【動画】嘉門洋子が暴力団組長の情婦だった!? またWinnyで警察の極秘調査資料…

Leave a Reply

XHTML: コメントには以下のタグが使用できます。: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>