RLOを使いレジストリ汚染を隠ぺいするマルウェア

2013年8月23日 18:36

 あるAnonymous Cowardのタレコミより。多くの文化圏では、横文字は左から右に読むが、アラビア語などでは横文字は右から左に向けて読む。そのため、UnicodeはRLOという制御コードを利用することで、文字の記述方向を切り替えられるようになっている。これを悪用し、ファイルの拡張子を分かりにくくするといった攻撃方法は以前からあったが、このたびRLOを利用してサービス名を分かりにくく偽装するマルウェアが発見された(MicrosoftのMalware Protection Center)。

 このマルウェアが偽装するのはGoogle Chromeなどで使われる「gupdate」という、サービスとしてバックグラウンドで動作するプログラム。マルウェアは先頭にRLO制御文字を加えた「etadpug」という文字列をサービス名として利用することで、一見「gupdate」というようにサービス名が見えるように偽装しているという。このように偽装された場合、目視での判別はかなり難しい。

 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

 関連ストーリー:
RLO 対策していますか? 2011年11月09日
Winnyネットワークに広がるRLO利用の拡張子偽装手法 2007年04月22日

 

関連記事

最新記事