インターネットに出回っているトロイの木馬の中で、その主流を占めるものの一つとして、偽警告メッセージを発生させるものがあります。このマルウェアは、PCに偽物の悪質なウイルス対策ソフトをインストールさせようとするものもあります。今回はそのマルウェアについて、最初の攻撃用のWebページから、最後に感染するまで、一連の感染経路について観察してみます。
このマルウェアが使用する手口としては、以下のような手順になっています。
- マルウェアをホスティングする攻撃用Webページ
- ブラウザヘルパーオブジェクト(BHO)
- 悪質な偽ウイルス対策ソフト用ダウンローダ
- パソコンが悪質な偽ウイルス対策ソフトに感染
感染経路の最初は、マルウェアホスティング用の悪質なWebページです。ユーザーは、メールやインスタントメッセージに記載されているリンクなどのソーシャルエンジニアリング攻撃や、悪事と無関係だが汚染されたWebサイトのリダイレクトに誘導されて、攻撃用Webページを訪れます。このようなリンクを1回でもクリックすると、感染が始まります。
ユーザーは、マルウェアをホスティングしているWebページで、何らかのソーシャルエンジニアリング攻撃を受けて、PCに実行ファイルをダウンロードしてしまいます。
このようなWebサイトにアクセスすると、「Windows Media Player」用コーデックプラグインというタイトルの「wmcodec_update.exe」をダウンロードするよう求められます。この偽プラグインファイルの正体は、多機能ドロッパという種類のマルウェアであり、仮にダウンロードせずに放置していると、繰り返しメッセージボックスが表示されます。
プラグインファイルをダウンロードして実行すると、以下のような偽エラーメッセージが現れます。
プラグインファイルの出すエラーメッセージ
このプラグインファイルはマルウェアとして動作を続け、BHOと悪質な偽ウイルス対策ソフト用ダウンローダを入手します。
次にBHOでは、Webブラウザが汚染されます。汚染の影響で、例えばWebブラウザで実行する検索処理が乗っ取られて別の攻撃用Webページへのリンクを挿入される、といった被害に遭遇します。以下に掲載した二つの画像は、「正常な」検索結果ページと、BHO感染で攻撃用Webページへのリンクが挿入された検索結果ページの違いを示すものです。攻撃用Webページがどれか分かるように、一つだけ赤で囲いました。
BHO未汚染のWebブラウザが表示するURL
汚染前の検索結果ページ
BHO汚染済みWebブラウザが表示する攻撃用WebページのURL
偽の検索結果ページ
スパイウェアは、BHOを使用してユーザーのWeb閲覧状況を調べるものが多くあります。このようにして得られた情報は、検索キーワードと関連性の高い広告をポップアップ表示するマルウェアなどに利用されるようになります。
その次は、悪質な偽ウイルス対策ソフト用ダウンローダが表示されます。ここでユーザーは、PCのデスクトップ上でポルノサイトにリンクしている二つの雑誌を目にします。
偽雑誌
この「偽」ダウンローダは、ユーザーに断りなく偽アプリケーションをダウンロードします。ユーザーのPCは、最終的に偽アプリケーションに感染してしまします。そして、この偽アプリケーションは、偽物の警告メッセージを表示します。
偽物の警告メッセージ
偽アプリケーションの出す検査レポートには、大げさかつ嘘の内容が書かれています。
検査レポート
このアプリケーションの出す偽の警告メッセージは、実在しない脅威を誇張し、PCの「修復」に必要な製品を購入するようユーザーを促すことが目的です。
偽物のアクティベーション画面
偽物の登録画面
このようにマルウェアをホスティングする攻撃用Webページや多機能ドロッパ、BHO、ダウンローダ、偽警告メッセージが協調して、最終的にユーザーをターゲットにします。
これらの攻撃に対処するためには、メッセージボックスを閉じる隙も与えず無限に表示し続ける偽プラグインファイルのダウンロードを、未然に防ぐことが重要です。OSのタスクマネージャで、怪しいメッセージを表示しているようなプロセスを停止すると良いでしょう。また、メール内のリンクに注意することも重要です。知らない人からのメールやインスタントメッセージに記載されているリンクは、特に注意が必要です。パソコンをマルウェア感染から守るには,何よりもまず「安全なWeb閲覧」を習慣にしなければなりません。
関連記事
- [2012/10/23] 新たな形式の偽ウイルス対策ソフトウェア「System Progressive Protection」が登場
- [2011/04/15] 偽ウイルス対策ソフトや、トロイの木馬と関わりを持つルートキット
- [2010/12/01] グーグル検索をターゲットにする、偽ウイルス対策ソフト
- [2010/11/08] スケアウェア、全マルウェアの23%に到達
- [2010/08/27] 偽のウイルス対策ソフトから身を守るために
- [2010/08/19] 偽のウイルス対策ソフトによる感染被害が拡大
- [2010/07/30] 偽ウイルス対策ソフトの感染経路-2
- [2010/05/17] 偽ウイルス対策ソフトの感染経路
- [2010/07/23] マカフィー製品を装う、偽のセキュリティソフトウェア-4
- [2010/07/16] マカフィー製品を装う、偽のセキュリティソフトウェア-3
- [2010/07/09] マカフィー製品を装う、偽のセキュリティソフトウェア-2
- [2010/07/02] マカフィー製品を装う、偽のセキュリティソフトウェア-1
- [2010/06/29] 偽のウイルス対策ソフト「2010年版」
- [2010/06/22] 新種が次々と現れる偽のセキュリティソフトウェア
- [2010/05/17] 偽ウイルス対策ソフトの感染経路
- [2010/03/11] 偽セキュリティ対策ソフトが急増中
関連情報
※本ページの内容はMcAfee Blogの抄訳です。
原文:Fake-Alert Tour Driven by Malware Team
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)