画像で見る壁紙変更の偽セキュリティソフト、トレンドマイクロが挙動分析


 偽セキュリティソフトの感染被害が増えているとして、トレンドマイクロが注意を喚起している。2月には新たに、「System Tool」という名称の偽セキュリティソフトが確認され、これまでに数十件の被害報告・問い合わせが寄せられているという。

 偽セキュリティソフトとは、偽のウイルス警告画面を表示してユーザーの恐怖心をあおった上で、システムの修復には正規版が必要だとして、金銭や個人情報をだまし取るインターネット上の詐欺。

 System Toolは、改ざんされた正規のウェブサイトを閲覧することで感染するケースが多く、感染すると「ウイルスに感染して危険である」という内容が書かれた壁紙に変更、警告メッセージが全画面で表示され、ユーザーを脅かすという。

 本稿では、トレンドマイクロの協力のもと、「System Tool」の挙動を図版で紹介する。

「System Tool」のインストールプログラムをデスクトップ上に置いたところ。名称は「AdobeFlashPlayer」となっているが、アイコンはAdobe Flash Playerとは異なる。通常、勝手にダウンロードされたあと、すぐに実行されるため、ユーザーは気付かないと思われる

「System Tool」のプロパティを確認したところ。説明が「Firefox」、会社名が「Mozilla Corporation」となっているが、これは偽の表記だ

感染すると壁紙が変更され、画面いっぱいに警告画面が表示される。なお、壁紙を勝手に変えて警告画面を表示するという手口は、2007年から2008年ごろに確認した偽セキュリティソフトで数多く使われていたという

壁紙が変更された後は、偽のウイルススキャン画面が出現する。検出するファイルは、一般的な名称やでたらめな名称のファイル名になっている

スキャンが完了し、複数のウイルスを検出したというメッセージが出る

スキャン完了画面で「Remove all threats now」をクリックすると、購入画面が現れる

クレジットカード番号を入力せずに次へ進もうとすると、「This field is required」というメッセージが出て進めない

対応言語は「英語」「ドイツ語」「スペイン語」の3言語

画面右下には「パターンファイル」のアップデートメッセージが表示されている

EXE形式のファイルを起動しようとすると阻止される。そのため、駆除ツールでSystem Toolを駆除しようとしても実行できない。画面はメモ帳(notepad)を起動しようとしたところ。右下には、「notepad」は感染しているので、ウイルス対策ソフトを有効にしてください、というメッセージが表示されている

 トレンドマイクロでは、「System Tool」を含む偽セキュリティソフトをインストールしないようにするためには、セキュリティソフトを最新の状態で使用し、怪しいウェブサイトに近づかないことが重要だとしている。同社のセキュリティ製品では、「TROJ_FAKEAV.SM1A」として検出している。


関連情報

(増田 覚)

2011/3/11 06:00