偽ウイルス対策ソフトの感染経路-2

ユーザーに偽のウイルス対策やスパイウェア対策ソフトの購入を迫るスケアウェアには、様々な種類があります。その中でも主流を占めるのは、個人ユーザーをターゲットにした「Personal Antivirus」系の、悪質な偽ウイルス対策ソフトです。今回はサンプルとして、「Alpha Antivirus」と称する偽ウイルス対策ソフトを取り上げ、一連の感染経路を観察してみます。

この偽ウイルス対策ソフトのファイルは、「alphaav.exe」と「msnaoladdon.dll」という名前です。Alpha Antivirusは、多くの偽ウイルス対策ソフトと同様に、攻撃用WebサイトでホスティングしているWebページをポップアップ表示し、自らをユーザーに宣伝します。宣伝用WebページはWindowsのエクスプローラやセキュリティ警告ダイアログに似せてあり、まずは「感染した」システムに対し、無料で偽オンラインセキュリティ検査を実行します。

偽オンラインセキュリティ検査の画面

そしてこのファイルは、Alpha Antivirusをインストールするよう求めるメッセージを表示します。ユーザーがその指示に従うと、Alpha Antivirusはまるでスキャンしたかのような表示をして、複数の感染が見つかったという嘘の報告を行います。

Alpha Antivirusが実行する偽スキャン

嘘の感染レポート

さらに、Windowsのタスクバーから誤解させるような内容の警告をポップアップ表示します。

Alpha Antivirusの偽の警告

Alpha Antivirusは、自分自身のコードを「%ProgramFiles%\AlphaAV\AlphaAV.exe」としてダウンロードし,DLL「msnaoladdon.dll」をWindowsのシステムフォルダに格納します。なお、「%ProgramFiles%」は、Windowsの「C:\Program Files」といったプログラム格納用フォルダを意味します。そしてこのDLLを、ブラウザヘルパーオブジェクト(BHO)の形でInternet Explorer(IE)に組み込みます。

偽ウイルス対策ソフトは、名前やファイル名、GUIを突然変えることがよくあります。新たに登場した偽ウイルス対策ソフトについて、セキュリティ分野の企業や研究者が情報を発信すると、マルウエア作者は、「製品」の名前やファイル名を新たに作成し、再度パッケージ化を行います。また、ユーザーに正体を見破られず、セキュリティベンダーから見つからないようにするため、必要なファイルに施す難読化と暗号化を強化します。

最後に、このような偽ウイルス対策ソフトのターゲットにならないよう、簡単なアドバイスを述べたいと思います。ウイルス対策ソフトを購入する場合は、怪しいWebサイトへのアクセスは避け、必ず信頼できるセキュリティベンダーのWebサイトから、インストールを行いましょう。またウイルス定義ファイルを、常に最新状態に維持しておくことも重要です。

関連記事

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:Rebranded Rogue Anti-Virus Strikes Again

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速