PR

 前回解説したように、標的型攻撃で使われるウイルスは実行形式が主流になっている。このため攻撃者は、実行形式ウイルスの偽装にあらん限りの力を注いでいる。

 ユーザーにとって、実行形式のウイルスを見抜く最も簡単な方法は、ファイルの拡張子を表示させることだ。前回まででも言及したように、Windowsの初期設定では、exeやscrといった実行形式ファイルの拡張子は表示されない。

 だが、設定を変更すれば表示されるようになる。例えば、エクスプローラーのウインドウで[ALT]キーを押し、[ツール]→[フォルダーオプション]を開く。そして、[表示]タブを選択し、「詳細設定」中の[登録されている拡張子は表示しない]のチェックを外す。

 拡張子を表示させれば、アイコンが動画ファイルや画像ファイルであっても、実行形式ファイルであることが分かる。実行形式ファイルであるにもかかわらず、アイコンを偽装しているファイルは、ウイルス対策ソフトが反応しなくても、ウイルスである可能性が極めて高い。拡張子を表示させることのデメリットはほとんどないので、ユーザーは設定を変更すべきだ。

制御文字でファイル名を偽装

 しかしながら、ファイル名を“手軽に”偽装する方法があるので油断はできない。ファイル名にユニコード(Unicode)の制御文字「RLO(Right-to-Left Override)」を挿入する方法だ。制御文字の名称から「RLOウイルス」や「RLOタイプのウイルス」と呼ぶこともある。