偽ウイルス対策ソフトの感染経路、マカフィーがブログで詳細解説


 マカフィー株式会社は5月17日、同社のブログで、ユーザーに偽ウイルスソフトの購入を迫るスケアウェアの詳細な感染プロセスを紹介した。

 スケアウェアにはさまざまな種類がある。ブログでは「特筆すべき傾向として、偽の警告メッセージによる犯罪モデルが、ただ単に恐怖をあおるものから、詐欺目的で各種ITリソースを掌握し続ける形態に変わりつつある」と説明。その一例として、「System Security 2009」と称する偽ウイルス対策ソフトを取り上げ、一連の感染経路を追っている。

「System Security 2009」は、「FakeAlert-CO」などとして検出される。「PCがマルウェアに感染した」と偽の警告を表示してユーザーをだまし、修復に必要な代金を支払うよう迫る。

 PCに入り込んだFakeAlert-COは、実行中の全ユーザープロセスを止めるか、もしくはユーザーに再起動を促す。そしていずれの場合も、PC内を検査するふりをして、脅威を見つけたという偽の報告を行う。

 FakeAlert-COがこれまでの偽ウイルス対策ソフトと異なるのは、プロセスを止めたWindowsの「タスクマネージャ」や「コマンドプロンプト」などのシステムツールや、オフィスアプリケーションをすべて実行不可にする点で、「実行できないファイルはマルウェアに感染している」という内容のメッセージを表示する。

 こうして恐怖に駆られ、有償版のアクティベートを決意したユーザーが招き入れられるのは、見た目も整い、一見すると正当な購入用Webサイトだ。購入するライセンスとしては2年版/無期限版が選択でき、割引価格や、30日間の返金保証までうたっている。

 ブログによると「一度、偽ウイルス対策ソフトをインストールすると、削除するのは非常に難しい」という。そもそもアンインストール機能が用意されておらず、「コントロールパネル」内の「プログラムの追加と削除」も通常の方法では開けなくなってしまうからだ。

 削除する方法としては、「Windowsをセーフモードで立ち上げる必要がある。そうすれば、FakeAlert-COが自動起動することはなく、プロセスを止められたシステムツールやアプリケーションも正常に実行できる」としている。


System Security 2009が起動「PCがマルウェアに感染した」と偽の警告を表示
有償版へのアップデートを促す購入用Webサイトは一見すると正規品の商用サイト




関連情報

(川島 弘之)

2010/5/17 13:14