Windowsショートカットファイルの悪用

様々な種類が存在するマルウェアの中には、悪質なファイルやスクリプトの起動に各種方法でショートカットファイルを悪用するものがあります。その手口について、今回は取り上げます。

ショートカット(.lnk)は小さなバイナリファイルであり、内部にはアプリケーションなどを指すパスと、場合によってアプリケーションへ渡す引数が記載されています。アプリケーションを実行するために使用するファイルで、ユーザーがアクセスしやすいWindowsのデスクトップやアプリケーションランチャーなどに置かれています。またWindowsの起動時にアプリケーションを自動実行することができるように、スタートアップフォルダにも入れることが多くあります。大抵のユーザーは、実行可能ファイルほどショートカットファイルを危険視しません。そのため、間接的にアプリケーションを実行できるこの方法は、マルウェア作者にとっても魅力的なことが多いのが現状です。 その手口を以下に3件紹介します。

    1. マルウェアファイルを指すショートカットファイルを作成

ユーザー操作やWindows再起動でマルウェアを簡単に起動できます。ショートカットファイルは、デスクトップやネットワーク共有フォルダ、スタートアップフォルダ内に作成します。トロイの木馬「Spy-Agent.bw」の数ある亜種のある一つが、この手口で起動を試みています。

    1. ショートカットに対する寄生

ウイルス「W32/Mokaksu 」は、デスクトップ上の全ショートカットファイルを改変することで、ショートカット本来のパスにW32/Mokaksuファイルへのパスを追加します。

上記スクリーンショットは、「Adobe Acrobat Reader」を指すショートカットがマルウェアに感染した例です。「AcroRd32.exe」を指す本来のパス(黄色枠内)の前に、マルウェアファイル「Config.Msi.exe」へのパス(赤枠内)が追加されています。このショートカット内で、元々あったパスはマルウェアファイルに渡るパラメータとして処理されます。ユーザーがショートカットをクリックすると、本来のファイル(この例ではAdobe Acrobat Reader)の起動時にW32/Mokaksuもバックグラウンドで動き出します。このショートカットの指しているアプリケーションだけが動いているように見えるため、感染したことが非常に気付かれにくいのが実情です。

    1. ショートカットへのスクリプト挿入

ショートカットを使用して実行可能なトロイの木馬ファイルを指すのではなく、コマンドプロンプト「cmd.exe」用のスクリプトをショートカットに挿入する例も多くあります。この手口の代表としては、トロイの木馬「Downloader-BMF」があげられます。

ユーザーがこのショートカットをクリックすると、挿入されたスクリプトが密かにFTP処理スクリプトを生成し、FTPサーバーからVisual Basic Script(VBS)形式のスクリプトをダウンロードします。そして、このVBSスクリプトがトロイの木馬をダウンロードするのです。

1と2は、ショートカットを単なるマルウェア起動手段として使用しています。これに対し3は、ショートカットファイル自体が独立した悪質なファイルであり、本物のcmd.exeさえあれば攻撃用の実行ファイルを必要としません。3のようなショートカットファイルは、メールに添付して送信することやWebサイトで配布することが可能です。つまり、これまで以上にショートカットファイルを警戒する必要があります。ショートカットファイルは、プロパティを調べるか、バイナリエディタで表示すれば簡単に検査することができます。

怪しい文字列に気が付いたら、そのショートカットファイルを決してクリックしないでください。

関連記事

※本ページの内容はMcAfee Blogの抄訳です。
原文:Abusing Shortcut files

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速