マカフィー製品を装う、偽のセキュリティソフトウェア-1

• 脅威情報
• 2010.7.2
• 更新日：2017.10.25

最近、悪質な偽のウイルス対策ソフトウェアやスパイウェアプログラムが急増していますが、その中には有名なセキュリティベンダーによる正規の製品を真似たものがあります。このような偽の製品は、本物のルックアンドフィールを持っており、単に製品外観だけではなく、本物そっくりのユーザーインターフェイスや非常に似通った購入ページを表示するものもあります。今回はその一例として、マカフィー製品を模倣した「MaCatte製品」を紹介しましょう。

まずはMcAfeeとMaCatteの購入Webサイトを見比べてみましょう。

・マカフィーの正規サイト画面

・偽のセキュリティソフトであるMaCatteのサイト画面

マルウェアの作者が真似する価値がある製品として、マカフィーを選んだことは嬉しく思うべきなのかもしれません。悪質な偽のセキュリティソフトウェアは、長い間、マイクロソフトのWindows XPのセキュリティアプリケーション（FakeAlert-XPSecCenter）やWindows Vista／Windows 7のセキュリティアプリケーション（FakeAlert-EA）を模倣してきました。

偽のセキュリティソフトウェアは、”PCが感染しているので有償で問題を解決する必要がある”と警告したりするような手口で、疑いを持たないユーザーを狙っています。マルウェアは、多くの無害なファイルが乗っ取られたことを検出するウィンドウを表示します。これらの偽のセキュリティアラートには根拠が全くなく、ユーザーを騙して慌ててボタンを押させるためだけに存在します。MaCatteの場合、「すべての脅威を今すぐ削除する」に同意すると、MaCatte Antivirusの購入へと誘導されます。MaCatte Antivirus には、以下の複数の「機能」が搭載されています。

• セキュリティセンターに偽の警告メッセージを表示
• 偽のウイルススキャンを実行
• 偽のセキュリティアラートの表示と偽のウイルス検出
• システムトレイのアイコンを点滅
• ブラウザのホームページを乗っ取り、マカフィーのサイトを模倣したサイトに誘導

・MaCatteのセキュリティセンター画面

・MaCatteのスキャン画面

・MaCatteの偽のセキュリティアラートと検出画面

その他、MaCatte Antivirusには、現在インストールやダウンロードされているウイルス対策ソフトウェアをブロックする機能もあります。また、様々な偽のWebサイトにリダイレクトを行います。

インストールされたMaCatte Antivirusは、Windowsが起動すると自動的に起動します。起動後、PCをスキャンして複数の感染を表示しますが、製品を購入するまでは駆除しません。

「悪質な」ファイルを駆除する費用は非常に高く、99ドルもかかります。正規のセキュリティソフトウェアは、MaCatte製品ほど高くありません。本物と偽物を見分ける手段として、製品の値段に注意することで、被害者になることを避けることができると思います。

なお、多くのユーザーがMaCatte製品の被害者にならないよう、マカフィーよりドメイン登録機関に連絡した結果、サイトは既に閉鎖されています。またMaCatte Antivirusはウイルス定義ファイル5793でFakeAlert-MaCatteという名前で検出されます。