ユーザーに偽のウイルス対策やスパイウェア対策ソフトの購入を迫るスケアウェアには、様々な種類があります。その中でも主流を占めるのは、個人ユーザーをターゲットにした「Personal Antivirus」系の、悪質な偽ウイルス対策ソフトです。今回はサンプルとして、「Alpha Antivirus」と称する偽ウイルス対策ソフトを取り上げ、一連の感染経路を観察してみます。
この偽ウイルス対策ソフトのファイルは、「alphaav.exe」と「msnaoladdon.dll」という名前です。Alpha Antivirusは、多くの偽ウイルス対策ソフトと同様に、攻撃用WebサイトでホスティングしているWebページをポップアップ表示し、自らをユーザーに宣伝します。宣伝用WebページはWindowsのエクスプローラやセキュリティ警告ダイアログに似せてあり、まずは「感染した」システムに対し、無料で偽オンラインセキュリティ検査を実行します。
偽オンラインセキュリティ検査の画面
そしてこのファイルは、Alpha Antivirusをインストールするよう求めるメッセージを表示します。ユーザーがその指示に従うと、Alpha Antivirusはまるでスキャンしたかのような表示をして、複数の感染が見つかったという嘘の報告を行います。
Alpha Antivirusが実行する偽スキャン
嘘の感染レポート
さらに、Windowsのタスクバーから誤解させるような内容の警告をポップアップ表示します。
Alpha Antivirusの偽の警告
Alpha Antivirusは、自分自身のコードを「%ProgramFiles%\AlphaAV\AlphaAV.exe」としてダウンロードし,DLL「msnaoladdon.dll」をWindowsのシステムフォルダに格納します。なお、「%ProgramFiles%」は、Windowsの「C:\Program Files」といったプログラム格納用フォルダを意味します。そしてこのDLLを、ブラウザヘルパーオブジェクト(BHO)の形でInternet Explorer(IE)に組み込みます。
偽ウイルス対策ソフトは、名前やファイル名、GUIを突然変えることがよくあります。新たに登場した偽ウイルス対策ソフトについて、セキュリティ分野の企業や研究者が情報を発信すると、マルウエア作者は、「製品」の名前やファイル名を新たに作成し、再度パッケージ化を行います。また、ユーザーに正体を見破られず、セキュリティベンダーから見つからないようにするため、必要なファイルに施す難読化と暗号化を強化します。
最後に、このような偽ウイルス対策ソフトのターゲットにならないよう、簡単なアドバイスを述べたいと思います。ウイルス対策ソフトを購入する場合は、怪しいWebサイトへのアクセスは避け、必ず信頼できるセキュリティベンダーのWebサイトから、インストールを行いましょう。またウイルス定義ファイルを、常に最新状態に維持しておくことも重要です。
関連記事
- [2012/10/23] 新たな形式の偽ウイルス対策ソフトウェア「System Progressive Protection」が登場
- [2011/04/15] 偽ウイルス対策ソフトや、トロイの木馬と関わりを持つルートキット
- [2010/12/01] グーグル検索をターゲットにする、偽ウイルス対策ソフト
- [2010/11/08] スケアウェア、全マルウェアの23%に到達
- [2010/08/27] 偽のウイルス対策ソフトから身を守るために
- [2010/08/19] 偽のウイルス対策ソフトによる感染被害が拡大
- [2010/08/13] 偽ウイルス対策ソフトの感染経路-3
- [2010/05/17] 偽ウイルス対策ソフトの感染経路
- [2010/07/23] マカフィー製品を装う、偽のセキュリティソフトウェア-4
- [2010/07/16] マカフィー製品を装う、偽のセキュリティソフトウェア-3
- [2010/07/09] マカフィー製品を装う、偽のセキュリティソフトウェア-2
- [2010/07/02] マカフィー製品を装う、偽のセキュリティソフトウェア-1
- [2010/06/29] 偽のウイルス対策ソフト「2010年版」
- [2010/06/22] 新種が次々と現れる偽のセキュリティソフトウェア
- [2010/05/17] 偽ウイルス対策ソフトの感染経路
- [2010/03/11] 偽セキュリティ対策ソフトが急増中
関連情報
※本ページの内容はMcAfee Blogの抄訳です。
原文:Rebranded Rogue Anti-Virus Strikes Again
