画像で見る「Microsoft Security Essentials」を装う偽セキュリティソフト


 マイクロソフトが無償で提供しているセキュリティソフト「Microsoft Security Essentials(MSE)」を装った偽セキュリティソフトが出回っているとして、トレンドマイクロが注意を喚起している。

 偽セキュリティソフトは「THINK POINT」という名称で、不正なウェブサイトを閲覧するとダウンロードされ、ユーザーがこれを実行すると感染する。本稿では、トレンドマイクロ株式会社の協力のもと、THINK POINTの挙動を図版で紹介する。

Microsoft Security Essebtials(MSE)を装う偽セキュリティソフトの一連の動き

ダウンロードした偽セキュリティソフトを実行すると起動するウィンドウ。MSEからの警告を装っているため、特にMSEのユーザーは注意が必要だ

上記画面で「Clean Computer」または「Apply actions」を押すと、プログレスバーが表示され、駆除が実行されているかのように装う。デスクトップにある黄色いカプセルのアイコンは、偽セキュリティソフトの本体となるプログラム

偽のウイルススキャンを実行中の画面

偽のウイルススキャンが終了すると、「Solution found」というメッセージが表示される。「OK」を押すとPCが再起動する。画面右下にあるのは、偽セキュリティソフト「THINK POINT」によるメッセージ

PC再起動時には「THINK POINT」が立ち上がる。Windowsのロゴを使用しており、「Safe Startup」ボタンがクリッカブルになっている

上記画面で「Safe Startup」ボタンをクリックすると、偽のウイルススキャンを開始する。検出したファイル名はウイルスではないが、実際にPC内に存在するものだ

ウイルススキャンの完了画面。ウイルスを検出したという警告とともに、正規版のインストールを勧められる

正規版を入手するようボタンをクリックすると、ウェブページが開き、クレジットカード番号や個人情報の入力を求められる

ブラウザーを起動させようとするとメッセージを出して起動を妨害する。Internet Explorerを起動させようとしたときに表示される画面

 トレンドマイクロによれば、偽セキュリティソフトは実行されると、特定のフォルダーに自身のコピーを「hotfix.exe」というファイル名で保存し、PC起動時にhotfix.exeが自動で動作するようレジストリーに登録されるという。

 すでに感染してしまった場合の対応方法としては、Windowsをセーフモードで再起動し、不正プログラムの自動起動設定を削除する必要がある(トレンドマイクロによる対応方法の説明)。

 トレンドマイクロのセキュリティソフト「ウイルスバスター」では、THINK POINTを「TROJ_FAKEALE.IG」として検知している。同ウイルスを配布する不正サイトは現時点で閉鎖されているが、今後場所を変えて復活する可能性もあるとして注意を促している。


関連情報

(増田 覚)

2010/11/2 12:55