フィンランドのセキュリティ企業エフセキュアは2011年8月19日、ファイル名やアイコンを偽装して、Word文書に見せかけるウイルス(マルウエア)が出回っているとして注意を呼びかけた。
今回確認されたウイルスは、ファイル名にユニコード(Unicode)の制御文字「RLO(Right-to-Left Override)」を挿入することでユーザーをだまそうとする。
RLOとは、文字の流れを右から左に変更する制御文字。ファイル名の中にこの制御文字(文字コードは[U+202e])を挿入すると、本当の拡張子が「.exe」であっても、画面上は「.doc」に見せかけることができる。
ウイルスは、ZIP形式で圧縮されて配布されているという。例えば、同社が公開しているサンプルのファイル名は「log_08.12.2011_P61602.zip」。このファイルを展開すると、拡張子がexeのウイルスが生成される。
だが、前述のようにファイル名にはRLOが挿入されているため、Windows上では「Changelog_08.12.2011_Prophylexe.doc」と表示される(図)。実際のファイル名は、「Changelog_08.12.2011_Prophyl[RLO]cod.exe」。
また、実行形式ファイルのアイコンは作成者が自由に設定できるので、Wordのアイコンに偽装されている。
Word文書ファイルだと思って、該当のファイルをダブルクリックするとウイルスに感染。パソコンを乗っ取られるなどの被害に遭う。
RLOを悪用したウイルスは以前から確認されているが、最近、再び出回っているとして、同社では改めて注意を呼びかけている。例えば、ファイル名やアイコンを偽装しても、「種類(Type)」は「アプリケーション(Application)」なので、ファイルの種類を確認することで、偽装を見抜ける。ただし同社によれば、ファイルを圧縮・展開するソフトの中には、「種類」を表示しないものがあるので要注意としている。
