yaegakiの日記: 「Emotet」添付ファイルにショートカットファイルを使う新手法 7
日記 by
yaegaki
更新: 2022年4月26日追記
2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至ります。
ショートカットファイルを実行するとスクリプトファイルが生成、実行されるという仕組みがわからない。
誰か教えてくれ!
なんとなく画像を見てると手法が見えてくる (スコア:1)
この [twitter.com]tweetが参考になります。
Re:なんとなく画像を見てると手法が見えてくる (スコア:2)
ありがとうございます。
ショートカットのリンク先にコマンド文字列を設定してcmd.exeを実行できるんですね。
リダイレクトでファイルも生成できて、ワンライナーの要領で生成したスクリプトを実行できると。
ショートカットの実行はスクリプトファイルの実行と同じリスクとして考えないといけないということですね。
Re: (スコア:0)
自己展開シェルスクリプト(シェルスクリプト+アーカイブ)のWindows版みたいな感じだね。
.exeを動かしちゃうような相手なら.lnkも動かしちゃうかぁ。
Re: なんとなく画像を見てると手法が見えてくる (スコア:0)
Re: なんとなく画像を見てると手法が見えてくる (スコア:1)
拡張子非表示はWindowsの初期設定ですから…
# 昔のMacintosh(File TypeとCreatorはFinderでは非表示)に対抗して…現在に至る禍根が残る
Re: (スコア:0)
拡張子変わるとファイルタイプや関連付けまで変わってくるしなあ。
WinFSがポシャってしまったのが痛い。
Re: (スコア:0)
確かに.lnkの拡張子を表示する設定にしてる人は見たことない