画像で見る25言語対応の偽セキュリティソフト

　日本語を含む25言語の表示に対応した偽セキュリティソフト「SecurityTool」が7月ごろから出回っている。SecurityToolは、コンピューターの言語環境に合わせて表示言語が変わるのが特徴。本稿ではトレンドマイクロ株式会社の協力のもと、SecurityToolの挙動を画像で紹介する。

　トレンドマイクロによれば、SecurityToolという名称の偽セキュリティソフトは、2010年1月に発見されている。当初は英語のみの表示だったが、7月には、日本語を含む25言語に対応したことが確認された。

日本語で表示されたSecurityTool（左）と2010年1月に発見された英語版の画面

　SecurityToolの基本的な動作は、一般的な偽セキュリティソフトと同じだ。まずは、正規ウェブサイトの改ざんや、いわゆる「ガンブラー攻撃」で感染するウイルスによってダウンロードされる。

　感染後にはユーザーのデスクトップ画面に「ウイルスに感染している」といった内容のメッセージを表示。最終的には、購入を促す画面に誘導し、クレジットカード情報などを盗もうとする。

改ざんされた正規のウェブサイトからダウンロードされるイメージ

　ここからは、ウイルスによってインストールされたSecurityToolの挙動を紹介する。

SecurityToolがインストールされると、デスクトップに「ウイルス感染している」といった内容の偽の感染警告画面が表示される

偽の感染警告画面

言語の選択画面。日本語のほかにも、フランス語やドイツ語、イタリア語など多言語が選択可能となっている

ウイルス検索を実行している画面。検出ファイル名は、実際のシステムファイル内からランダムに選んでいる

ウイルス検索中には自社製品の広告まで表示する

検索が終了すると偽のウイルス検出画面を表示する

検出されたウイルスを駆除しようとすると、登録が必要というメッセージが出てくる

登録を行おうとすると、購入画面に遷移する。ここではクレジットカード情報などを入力させようとする。購入画面の言語は英語だが、ユーザーの国籍は「Japan」となっている

このほか、SecurityToolではオプション設定画面も用意され、通常のウイルス対策ソフトのような設定ができるように思わせる

　SecurityToolについてトレンドマイクロは、「不自然な日本語表記もあり、機械翻訳を使って作られた可能性が高い」と指摘する。その一方、“機能”面ではかなり精巧に作り込まれているという。

　具体的には、インストール後にはレジストリーを改変し、新たな実行ファイルが起動されたときに、SecurityTool自身が起動する機能がある。これにより、例えばユーザーがテキストファイルを開こうとして「notepad.exe」を実行すると、「notepad.exe」が感染しているといった旨のメッセージを表示する。

　また、自社広告ウィンドウも含めて、操作画面でクリックできそうな部分はすべてクリック可能となっている点も特徴だと指摘する。なお、クリック可能な部分のリンク先は、いずれも購入画面となっているという。

　トレンドマイクロのセキュリティソフト「ウイルスバスター」では、SecurityToolを「TROJ_BREDO.AC」として検知している。