記事検索
特別企画

画像で見る偽デフラグツール、トレンドマイクロが挙動を分析


 ハードディスクのデフラグツールを装った「偽システム診断ツール(偽デフラグツール)」が出回っているとして、トレンドマイクロが注意を喚起している。昨今増えている「偽セキュリティソフト」の“発展系”として、2010年10月以降で30種類以上の偽デフラグツールが確認されているという。

 偽デフラグツールは、見た目はデフラグツールとして機能するようなインターフェイスとなっているが、正常な機能は提供されない。再起動やハードディスクの異常を示すメッセージを表示して不安をあおり、不具合を修復するための製品を購入させようとしたり、個人情報を入力させようとする。

 トレンドマイクロ株式会社によれば、偽デフラグツールは悪意のあるウェブサイトからユーザーが誤ってダウンロードすることにより、コンピューターに侵入するという。本稿では同社の協力のもと、「SystemDefragmenter」という名称で流通している偽デフラグツールの挙動を図版で紹介する。

悪意のあるサイトからユーザーがダウンロードした偽デフラグツールのインストールプログラム。アイコンは「Windows Update」で使われているものと同一。実行後は削除される インストールプログラムの実行後、タスクバー部分に「Critical Error」(深刻な問題を抱えている)というメッセージが表示される。この時点でパソコンの異常に気づいても、インストールプログラムは削除されているため、感染の特定が困難だという

「Critical Error」というメッセージをクリックすると、偽のシステム診断がスタートする。複数の診断項目で問題が検出されたというメッセージが出てくるが、実際には問題のない項目の警告が表示されている

偽のシステム診断が終了すると、診断完了画面に遷移する。バルーンチップには「Critical Error」(深刻な問題を抱えている)、メイン画面には「11 Errors detected! Defragmentation is required」(11のエラーを検出! デフラグの実施を推奨)と表示されている

上記の画面で「Run defragmentation」のボタンを押すと、「Safe Mode required」(セーフモード要求)というメッセージが出現する。「OK」ボタンを押すと先に進む

「OK」ボタンを押しても実際にはセーフモードにはならず、画面の壁紙を変更することでセーフモード状態を偽る。さらに、デフラグの実施を偽った画面を表示する

デフラグ中に深刻なエラーが発生したため、システムの再起動が必要だと要求する

再起動の要求を無視し続けると壁紙は元に戻る。深刻なエラーを修復するには、有償の「DefragHDDRepair」モジュールが必要だとして購入を促す。「OK」ボタンをクリックするとパソコンが再起動する

再起動後も定期的にエラーが表示される。「DefragHDDRepair」モジュールを入手するため、「Order now」ボタンをクリックするとウェブページが開き、クレジットカード番号や個人情報の入力が求められる

ウェブページで情報を入力すると、アクティベーションコードが発行される。上記は、登録メールアドレスとアクティベーションコードの入力画面。登録メールアドレスは任意の文字列を受け付ける。アクティベーションコードは31桁の数字。認証が完了すると自動的にデフラグが開始する

アクティベーション後のデフラグが完了した画面。「11のエラーは修復された」と表示されるが、もともとエラーがあるわけではなく、「修復された」というメッセージを表示しているだけだ

デフラグ完了後は、EXE形式のファイルを起動させようとすると、エラーメッセージが表示される。「Scan hard drive」ボタンをクリックすると、偽システム診断ツールが起動するため、駆除ツールさえも実行できなくなる

 偽デフラグツールはEXE形式の起動を妨害するだけでなく、「C:\Windows」や「C:\Program Files」フォルダー配下のファイルを閲覧しようとすると、エラーメッセージを表示して偽デフラグツールを起動させるという。また、Internet Explorerのセキュリティゾーンを変更し、セキュリティレベルを下げることも確認されている。

 トレンドマイクロでは2010年10月に偽デフラグツールを確認して以降、2011年1月現在も継続的に新しい亜種を発見している。偽デフラグツールは本稿で紹介した「SystemDefragmenter」のほかにも、「Check Disk」「Defragmenter」「Disk Doctor」「Disk Repair」「HDDRecovery」「Win Scanner」など30種類以上の名称があるという。

 トレンドマイクロはこれらの偽デフラグツールを「TROJ_FAKEAL」ファミリーとして検出。対策としては、ウイルス定義ファイルによる検出だけでなく、不正なサイトへの接続を防ぐ機能を備えたセキュリティソフトの利用を勧めている。なお、感染してしまった場合はレジストリを修復する必要があり、同社ではその方法をサイト上で紹介している。


関連情報

(増田 覚)

2011/1/25 06:00