様々な種類が存在するマルウェアの中には、悪質なファイルやスクリプトの起動に各種方法でショートカットファイルを悪用するものがあります。その手口について、今回は取り上げます。
ショートカット(.lnk)は小さなバイナリファイルであり、内部にはアプリケーションなどを指すパスと、場合によってアプリケーションへ渡す引数が記載されています。アプリケーションを実行するために使用するファイルで、ユーザーがアクセスしやすいWindowsのデスクトップやアプリケーションランチャーなどに置かれています。またWindowsの起動時にアプリケーションを自動実行することができるように、スタートアップフォルダにも入れることが多くあります。大抵のユーザーは、実行可能ファイルほどショートカットファイルを危険視しません。そのため、間接的にアプリケーションを実行できるこの方法は、マルウェア作者にとっても魅力的なことが多いのが現状です。 その手口を以下に3件紹介します。
-
- マルウェアファイルを指すショートカットファイルを作成
ユーザー操作やWindows再起動でマルウェアを簡単に起動できます。ショートカットファイルは、デスクトップやネットワーク共有フォルダ、スタートアップフォルダ内に作成します。トロイの木馬「Spy-Agent.bw」の数ある亜種のある一つが、この手口で起動を試みています。
-
- ショートカットに対する寄生
ウイルス「W32/Mokaksu 」は、デスクトップ上の全ショートカットファイルを改変することで、ショートカット本来のパスにW32/Mokaksuファイルへのパスを追加します。
上記スクリーンショットは、「Adobe Acrobat Reader」を指すショートカットがマルウェアに感染した例です。「AcroRd32.exe」を指す本来のパス(黄色枠内)の前に、マルウェアファイル「Config.Msi.exe」へのパス(赤枠内)が追加されています。このショートカット内で、元々あったパスはマルウェアファイルに渡るパラメータとして処理されます。ユーザーがショートカットをクリックすると、本来のファイル(この例ではAdobe Acrobat Reader)の起動時にW32/Mokaksuもバックグラウンドで動き出します。このショートカットの指しているアプリケーションだけが動いているように見えるため、感染したことが非常に気付かれにくいのが実情です。
-
- ショートカットへのスクリプト挿入
ショートカットを使用して実行可能なトロイの木馬ファイルを指すのではなく、コマンドプロンプト「cmd.exe」用のスクリプトをショートカットに挿入する例も多くあります。この手口の代表としては、トロイの木馬「Downloader-BMF」があげられます。
ユーザーがこのショートカットをクリックすると、挿入されたスクリプトが密かにFTP処理スクリプトを生成し、FTPサーバーからVisual Basic Script(VBS)形式のスクリプトをダウンロードします。そして、このVBSスクリプトがトロイの木馬をダウンロードするのです。
1と2は、ショートカットを単なるマルウェア起動手段として使用しています。これに対し3は、ショートカットファイル自体が独立した悪質なファイルであり、本物のcmd.exeさえあれば攻撃用の実行ファイルを必要としません。3のようなショートカットファイルは、メールに添付して送信することやWebサイトで配布することが可能です。つまり、これまで以上にショートカットファイルを警戒する必要があります。ショートカットファイルは、プロパティを調べるか、バイナリエディタで表示すれば簡単に検査することができます。
怪しい文字列に気が付いたら、そのショートカットファイルを決してクリックしないでください。
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)