RO TYR鯖のメイス職人ことティーナの日常


by hakkakudo

RLOでの拡張子偽装に注意(ウィルス対策)

Slashdotで話題になっていたので、RLOによるファイルの拡張子偽装について解説+対策を行おうと思います。
なお、解説が理解できなかった人は、今後のウィルス対策になるので、対策に書いてある通りの操作をして、セキュリティを高めてください。貴方のPCを守るのは貴方なのですから。

最初に忠告しますが、ここに記載している内容でRLOの検証及び対策が行えるのはWindows XP以降のOSを使っている人のみです。XPより前のOSを使っている人は、すでにMicrosoftのサポートも切れているので、XPなどにアップグレードすることをお勧めします。
ただなにも対策できないのでは困るので、途中で記載する方法で拡張子の偽装を見分けてください。
※Windows XP Home Editionでは下記の設定はそのままではできません。次回の記事にやり方を説明しますので、少しお待ちください><

まずRLOとは、文字コード「Unicode」で右から表記する文化圏の人に対応するために実装されている機能です。これを入れた文章は、RLOを挿入された後が全て右から左へ文字の向きが入れ替わります。
では実際に見てみましょう。

①setup.txtというテキストファイルをLhazで圧縮し、setuptxt.exeというファイルを作りました。
c0082952_0422382.jpg

②次にメモ帳を起動して、「setuptxt.exe」と記入した後、upとtxtの間にカーソルを合わせて右クリックし、RLOを挿入します。
c0082952_0205656.jpg

③「setup txt.exe」となった文字列をコピーして、「setuptxt.exe」をコピーして作ったファイルの名前に貼り付けます。
c0082952_0224298.jpg

ご覧の通り、ファイル名は「setupexe.txt」と最後がtxtとなっているのに、上のsetup.txtと違ってファイルの種類がテキストファイルではなく、「アプリケーション」という種類になっています。ここで行った例は、本来exe(アプリケーション)ファイルなのに、見た目のファイル名はtxtファイルに偽装できたことを意味しています。
Windows XP以前の方は、この方法で判別して実行しないように注意してください。

対策
①メモ帳を起動し、「**」と入力し、**の間にRLOを挿入してください。
c0082952_0253744.jpg

②「* *」となっている文字列をコピーしてください。
※必ずコピーしてください!「**」の間にあるのは半角スペースではありません。文字コードが入っています。
c0082952_0262914.jpg

③スタートメニューから、「ファイル名を指定して実行」を起動し、「gpedit.msc」と入力してOKを押してください。
c0082952_027259.jpg

④「グループポリシー」が起動するので、「ローカルコンピュータポリシー」→「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ソフトウェア制限のポリシー」を選択してください。下図と同じメッセージが表示されたら、「ソフトウェア制限のポリシー」で右クリックして、「新しいポリシーの作成」を押してください。
c0082952_029525.jpg

⑤画面右側の「追加の規制」を右クリックし、「新しいパスの規則」を選択してください。
c0082952_0305560.jpg

⑥新しいパスの規則の「パス」に、②でコピーした内容を「Ctrl+v」キーで貼り付け、「セキュリティレベル」が「許可しない」になっていることを確認して、OKボタンを押してください。
c0082952_0324516.jpg

⑦設定は終わりです。開いている「グループポリシー」を閉じてください。

この状態で先ほどのsetupexe.txtを実行すると・・・ちゃんと弾かれていますね。
c0082952_034520.jpg


SlashdotではWinnyを引き合いに出していますが、この偽装はUnicodeが使える環境ならどこでも流通します。メールに偽装されたウィルスが送られてきたり、ネット上にあるファイルが偽装されている可能性もあります。是非対策をするようにお勧めします。
[PR]
by hakkakudo | 2007-04-24 00:37 | 注意