Commtouchの友人達によれば、Right to Left Override(RLO)Unicodeトリックを利用したマルウェアが、「先週、広範囲に再浮上した」そうだ。Unicodeキャラクタ(U+202E)は、右から左に読まれる言語用にテキストを「逆にする」もので、ファイル名を分かりにくくするのに使用することができる。

  我々は2、3日前、サンプルを調べた。

  以下はWindowsで見たアーカイブファイルだ:

log_08.12.2011_P61602.zip

  Windows圧縮フォルダ表示では、拡張子が「.exe」であり、ファイルタイプがアプリケーションであることが示されている:

Compressed Folder

  しかし解凍してみると、ファイルの拡張子は「.doc」のように見える。

  Windows Explorerは、このファイルをアプリケーションとして認識しているが、マルウェアはソーシャルエンジニアリングの策略として、Wordアイコンを使用している。

Changelog_08.12.2011_Prophylexe.doc

  好奇心に駆られて、サードパーティのアーカイブマネージャをいくつかテストしてみることにした。

  以下はWinZipで見た同マルウェアだ:

WinZip

  こちらはWinRAR:

WinRAR

  そしてこちらは7-Zip:

7-Zip

  驚くべきことに、7-Zipはタイプでソートしているにも関わらず、ファイルタイプを表示しなかった。

  いずれにせよ、RLOトリックに注意し、アーカイブされた添付ファイルを解凍、あるいはオープンする前に、慎重にチェックして欲しい。