図1 今回報告されたウイルスの例(トレンドマイクロの情報)
図1 今回報告されたウイルスの例(トレンドマイクロの情報)
[画像のクリックで拡大表示]
図2 ウイルスが表示させるダミーの文書ファイル例(トレンドマイクロの情報)
図2 ウイルスが表示させるダミーの文書ファイル例(トレンドマイクロの情報)
[画像のクリックで拡大表示]

 セキュリティ企業のトレンドマイクロは2010年6月3日、新たに確認されたウイルス(マルウエア)の詳細を報告した。特徴は、ウイルス調査をかたる日本語のメールに添付されていることと、アイコンや拡張子を偽装して「Word」の文書ファイルに見せかけていること。

 今回のウイルスについては、国内のセキュリティ組織JPCERTコーディネーションセンター(JPCERT/CC)も2010年6月1日に注意喚起している。JPCERT/CCでは、ウイルスを添付したメールの特徴を説明したが、ウイルスについては詳述していなかった。今回トレンドマイクロでは、ウイルスの特徴について詳しく解説した。

 JPCERT/CCが報告しているように、今回のウイルスは、社内のウイルス調査をかたるメールに添付されていた。メールの件名は、「『緊急』社員全員の参加でVIRUS・悪性スクリプト用ファイルの調査」。本文には、「添付したマニュアルに従って、社内PC上にVIRUSがあるかどうか調査を行います。皆さんのご協力が必要です。よろしくお願いします!」といった内容が記載されている。

 トレンドマイクロによれば、複数の国内企業において、今回のウイルス添付メールが確認されているという。

 マニュアルと称してメールに添付されているファイルは、「Virus Check.zip」という名前の圧縮ファイル。このファイルを展開すると、Wordの文書ファイルに見せかけたウイルスが生成される。アイコンだけではなく、拡張子(ファイル名の最後)を「doc」に偽装していることが、このウイルスの大きな特徴である(図1)。

 ウイルスの実体は、拡張子が「scr」の実行形式ファイル(スクリーンセーバーファイル)。しかしながら、ファイル名にユニコード(Unicode)の制御文字「RLO(Right-to-Left Override)」を挿入することで、パソコンの画面上では、ファイル名の最後に「doc」の文字列を表示させている。

 RLOとは、文字の流れを右から左に変更する制御文字。ファイル名の中にこの制御文字(文字コードは[U+202e])を挿入すると、本当の拡張子が「scr」であっても、画面上は「doc」に見せかけることができる。

 具体的には、「Virus Check[U+202e]cod.scr」というファイル名にする。実体は実行形式ファイルだが、画面上は「Virus Checkrcs.doc」と表示される。RLOでファイル名を偽装したウイルスは2006年ごろから確認されているものの、あまり知られていないため、だまされる危険性が高い。

 画面上の表示は「doc」だが、実際の拡張子は「scr」。ファイルをダブルクリックすると動き出し、パソコンに感染する。同時に、無害のWord文書ファイル「virus.doc」を生成して、Wordに表示させる(図2)。この文書ファイルには、ウイルスの調査方法らしき手順が記載されている。これにより、ウイルスに感染したことをユーザーに気付かせないという。