ウイルスの罠
山田ウイルスに限らず、ウイルスに感染しないための予防策としてexeファイルを安易に実行するな、と言われます。
ですが一部のユーザはそれでもウイルスを実行させてしまいます。
なぜならそこには、実行させるための巧妙な罠が仕掛けられているからです。
その『罠』をここで紹介します。

  1. 偽装アイコン
  2. 解凍ソフトの脆弱性


1.偽装アイコン

exeファイルは普通下のようなアイコンとなっています。
実行ファイルアイコン

だからこのアイコンのファイルに注意すれば良い、なんてことはありません。
ウイルス感染レポートでも、exeファイルはXP標準フォルダに偽装していました。
もちろんフォルダだけではありません。
ここでは他の偽装例を示してみます。

用意したのは『(一般コミック・雑誌) [ジャンプ] [2005-30] DEATH NOTE Page.69 「飛翔」(一応・・・).zip』というファイルです。
このファイルを解凍する前に、WinRAR 日本語版(評価版)を用いて書庫内を見てみます。
(一般コミック・雑誌) [ジャンプ] [2005-30] DEATH NOTE Page.69 「飛翔」(一応・・・).zip

この時点では普通のexeアイコンです。
それでは実際に解凍してみましょう。
解凍

アイコンはWinRARの書庫アイコンです。
圧縮ファイルが二重になっていた、わけではありません。

試しにこのファイルを選択してみます。
エ・グ・ゼ〜

もはや恒例となりつつある、(空白).exeです。





もう1つ見てみましょう。
今度は『(シングル)[2005.06.08] ORANGE RANGE(オレンジレンジ) - お願い!セニョリータ [256kbps].zip』というファイルです。
同様に書庫内を見てから解凍してみます。
(シングル)[2005.06.08] ORANGE RANGE(オレンジレンジ) - お願い!セニョリータ [256kbps].zip

解凍

残念、アイコンが違います。
本物はWindows Media Playerアイコンなのに対し、ウイルスはWinampアイコンです。
さらに今回の場合は.exeの前の空白が微妙に短いです。
これでは偽装ファイルを実行する方が愚かです。

ついでなので統一してみましょう。
Winampアイコン

これなら騙されそうです。




2.解凍ソフトの脆弱性

解凍ソフトの脆弱性についてはこちらの記事を読んで下さい。
簡単に言えば、ユーザが指定した場所以外に解凍される可能性があるということです。
ウイルス作者はこの脆弱性を利用して、ウイルスを実行させようとします。

用意したのは今回もオレンジレンジで、『[シングル][2005.06.08] ORANGE RANGE - お願い!セニョリータ [192kbps].zip』というファイルです。
このファイルを解凍する前に、WinRARで書庫内を見てみます。
[シングル][2005.06.08] ORANGE RANGE - お願い!セニョリータ [192kbps].zip

音楽ファイルの他に、2つのフォルダが存在します。
とりあえず、上のフォルダを開いていきましょう。
..\..\..\..\..\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ

『..\..\..\..\..\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ』という場所にexplorer.exeファイルを解凍するようです。
まず、explorer.exeファイルはウイルスですので、実行してはいけません。

では単に『..\..\..\..\..\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ』にウイルスを解凍するだけでしょうか?
もちろんそんな簡単な話ではありません。

『..\』というのは現在のディレクトリの1つ上のディレクトリを示します。
つまり『..\..\..\..\..\』で5つ上のディレクトリです。
そしてそこを基点として、『Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ』に解凍します。

仮に書庫ファイルを解凍しようとした場所が、Cドライブのルートディレクトリから5つ以内の場所の場合、解凍されるのは『C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ』ということになります。

それでは実際に解凍してみます。
解凍するのに用いたソフトはLhaplus(Version 1.12)です。
このバージョンは脆弱性に対応する以前のものです。
解凍中

解凍終了

『C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ』に解凍されました。
では、この場所に解凍されることでどんな問題が発生するでしょうか?

スタートアップフォルダは特別なフォルダです。
そこに登録されたプログラムはWindows起動時に自動的に起動されます。

つまりこのままでは、次回起動時にexplorer.exeが実行され、ウイルスに感染してしまいます。



自分の使っている解凍ソフトが、この脆弱性に対応しているか確認しましょう。




Topへ戻る