「.exe」形式のファイルを「.pdf」に偽装して感染を広めるウイルス「RLTrap」が猛威を振るっている。情報処理推進機構(IPA)が2011年9月に約5万件に上る大量の検出報告を受け、注意と対策を呼びかけた。
Unicodeという文字の規格を悪用している。Unicodeの文字のなかには、通常パソコン利用者に見えず、プリンタや通信装置などを制御するために使われる「制御文字」がある。この制御文字をファイル名の一部に入れると、文字の並び順を替えてファイル名を偽装できてしまう。
今回のウイルスはファイル名の文字の並びを一部「左→右」から「右→左」に変更していた。例えば「HP_SCAN_FORM_N90952011___Collexe.pdf」という偽のファイル名があるが、実際には末尾部分「exe.pdf」の直前に制御文字が入っており、本当の並び順は「pdf.exe」。つまり、「HP_SCAN_FORM_N90952011___Collpdf.exe」というファイルだ。
本記事は、ニフティのニュースサイト「デジタル・トゥディ(Digital Today)」向けに弊社が執筆した記事「.exeファイルを.pdfに偽装して感染、「RLTrap」ウイルスが猛威」の一部です。全文は、デジタル・トゥディ(Digital Today)のサイトにてお読みください。