Commtouchの友人達によれば、Right to Left Override(RLO)Unicodeトリックを利用したマルウェアが、「先週、広範囲に再浮上した」そうだ。Unicodeキャラクタ(U+202E)は、右から左に読まれる言語用にテキストを「逆にする」もので、ファイル名を分かりにくくするのに使用することができる。
我々は2、3日前、サンプルを調べた。
以下はWindowsで見たアーカイブファイルだ:
![log_08.12.2011_P61602.zip](http://www.f-secure.com/weblog/archives/RTLO_unicode_01.jpg)
Windows圧縮フォルダ表示では、拡張子が「.exe」であり、ファイルタイプがアプリケーションであることが示されている:
![Compressed Folder](http://www.f-secure.com/weblog/archives/RTLO_unicode_02.jpg)
しかし解凍してみると、ファイルの拡張子は「.doc」のように見える。
Windows Explorerは、このファイルをアプリケーションとして認識しているが、マルウェアはソーシャルエンジニアリングの策略として、Wordアイコンを使用している。
![Changelog_08.12.2011_Prophylexe.doc](http://www.f-secure.com/weblog/archives/RTLO_unicode_03.jpg)
好奇心に駆られて、サードパーティのアーカイブマネージャをいくつかテストしてみることにした。
以下はWinZipで見た同マルウェアだ:
![WinZip](http://www.f-secure.com/weblog/archives/RTLO_unicode_04.jpg)
こちらはWinRAR:
![WinRAR](http://www.f-secure.com/weblog/archives/RTLO_unicode_05.jpg)
そしてこちらは7-Zip:
![7-Zip](http://www.f-secure.com/weblog/archives/RTLO_unicode_06.jpg)
驚くべきことに、7-Zipはタイプでソートしているにも関わらず、ファイルタイプを表示しなかった。
いずれにせよ、RLOトリックに注意し、アーカイブされた添付ファイルを解凍、あるいはオープンする前に、慎重にチェックして欲しい。
我々は2、3日前、サンプルを調べた。
以下はWindowsで見たアーカイブファイルだ:
![log_08.12.2011_P61602.zip](http://www.f-secure.com/weblog/archives/RTLO_unicode_01.jpg)
Windows圧縮フォルダ表示では、拡張子が「.exe」であり、ファイルタイプがアプリケーションであることが示されている:
![Compressed Folder](http://www.f-secure.com/weblog/archives/RTLO_unicode_02.jpg)
しかし解凍してみると、ファイルの拡張子は「.doc」のように見える。
Windows Explorerは、このファイルをアプリケーションとして認識しているが、マルウェアはソーシャルエンジニアリングの策略として、Wordアイコンを使用している。
![Changelog_08.12.2011_Prophylexe.doc](http://www.f-secure.com/weblog/archives/RTLO_unicode_03.jpg)
好奇心に駆られて、サードパーティのアーカイブマネージャをいくつかテストしてみることにした。
以下はWinZipで見た同マルウェアだ:
![WinZip](http://www.f-secure.com/weblog/archives/RTLO_unicode_04.jpg)
こちらはWinRAR:
![WinRAR](http://www.f-secure.com/weblog/archives/RTLO_unicode_05.jpg)
そしてこちらは7-Zip:
![7-Zip](http://www.f-secure.com/weblog/archives/RTLO_unicode_06.jpg)
驚くべきことに、7-Zipはタイプでソートしているにも関わらず、ファイルタイプを表示しなかった。
いずれにせよ、RLOトリックに注意し、アーカイブされた添付ファイルを解凍、あるいはオープンする前に、慎重にチェックして欲しい。