記事検索

「クリックしないとデータを消すよ」日本語で脅す不正プログラム


「Skype」のインストールモジュールを装う不正プログラム

 トレンドマイクロ株式会社は8日、「クリックしないとデータを消すよ」などと日本語で脅す不正プログラムが確認されたとして注意喚起した。2月以降に確認されており、日本国内ではこれまでに20件の検出事例が報告されているという。

 この不正プログラムは「SkypeStartUp0.exe」というファイル名で、「Skype」のインストールモジュールを装ってPC内に侵入する。侵入経路はウェブサイトからのダウンロード、もしくは感染ユーザーによるメール添付による配布などが考えられるという。

 このモジュールを実行すると、「クリックしないとパソコンのデータ全部消すよ」「データ削除と一緒に個人情報も全て公開するね」「このウィルスを他の人(50人)に感染させたら特別に、ウィルスを駆除してあげるね」といった脅迫文がウィンドウに表示される。

表示される脅迫文

 脅迫文の横には、実在するウェブサイトへのリンクが表示されており、トレンドマイクロでは「ユーザーにクリックさせることで最終的にはアフィリエイト収入を得ることを目的にしている」と推測している。

 また、ユーザーが「閉じる」ボタンをクリックすると、「本当の本当に閉じるの?」というメッセージが表示される。そこで「はい」「いいえ」のいずれをクリックしてもウィンドウは閉じられるが、プロセスは常駐しているという。

 なお、多くの不正プログラムに見られるように、スタートアップへの登録やファイルの作成、レジストリの変更と言った活動は行わず、PCを再起動するとプロセス自体も終了するという。

閉じようとすると表示される画面
「Yahoo!メール」を装う不正プログラム

 同様の手口としてはこのほか、「Yahoo!」を装ったアイコンで侵入する事例も確認されている。「Yahoo!メール」用のアプリケーションを思わせる「YahooMail0.exe」というファイル名の不正プログラムだ。

 これを実行すると、「しばらくお待ちください」というメッセージが記載されたウィンドウが現れ、ウィンドウ内には外部のウェブサイトの広告画面が表示される仕組み。

 このケースではSkypeを装う事例のような脅迫文を表示しないが、閉じようとすると「本当に閉じますか?」という画面が表示されたり、ウィンドウが閉じてもプロセスは常駐したまま残る、ファイル作成やレジストリ作成は行わない、という挙動は共通している。

閉じようとすると表示される画面

 これらの不正プログラムについてトレンドマイクロは、「それぞれ閉じる際に表示される警告画面のタイトルに出ている『TTSneo』という名称の、日本語で簡単にプログラムが作成できるプログラミング言語によって作成されている」と説明する。

 「作者のプログラミング能力はさほど高くないと推測されるが、最終的にアフィリエイトサイトへ誘導している点から金銭的な利得を目的としている点は明らか。今後、より巧妙なプログラムが登場する可能性も否定しきれない。」

 なお、「TTSneo」自体は不正な目的で作成されているものではないため、「TTSneoを使用して作成されたプログラム=危険性を含む」ということではないとしている。

 トレンドマイクロ製品ではこれらの不正プログラムを「TROJ_VB.IAS」として検出している。


関連情報

(増田 覚)

2011/3/9 15:14