新たな形式の偽ウイルス対策ソフトウェア「System Progressive Protection」が登場

脅威情報
2012.10.23

1か月ほど前、ウイルス対策ソフトウェアを装う新種のマルウェアであるSystem Progressive Protectionが初めて登場しました。このマルウェアは不正なセキュリティ製品であるWinwebsecファミリーに属しており、ドライブ・バイ・ダウンロードによって配布されたり、別のマルウェアによって作成、実行されたりします。System Progressive Protectionに感染すると、感染マシン上の他のアプリケーションにアクセスができなくなってしまいます。また警告メッセージによって感染が検出されたと主張し、ユーザーを脅して対策ソフトを購入させようとします。このようなマルウェアは、システムを「正常な状態に戻す」と偽って、ユーザーから金をゆすり取ります。コンピューターのスキャンは実際には何も行われません。

「スキャン」が完了すると、System Progressive Protectionは、いくつかのアプリケーションがマルウェアに感染していると報告し、感染したPCの所有ユーザーを脅します。また、ポート1214を介して112.121.178.189に接続します。この時点で、ターゲットはアプリケーションを実行できなくなります。System Progressive Protectionは、すべてのアプリケーションがマルウェアに感染していると主張します。

被害者のユーザーがSystem Progressive Protectionを起動しようとすると、Webページが開き、オンライン決済を行うよう指示されます。

System Progressive Protectionは、アクティベーションコードを入力するようターゲットに指示します。

ターゲットがアクティベーションコードを入力すると、再びアプリケーションを使用できるようになりますが、偽のウイルス対策ソフトウェアは依然としてマシンに残ります。

登録後、すべての感染が駆除されたというメッセージが表示されます。また、System Progressive Protectionのサポートへのインターネットショートカットファイルも作成されます。

Webページには、ユーザーガイド、サポート、FAQが掲載されているようです。

マルウェアは新しいファイル（PECompactで圧縮）をメモリに作成し、実行します。

暗号化されたデータが.rsrcセクションから取得されます。

感染後、以下のファイルがターゲットマシンにドロップされます。

%Desktopdir%\System Progressive Protection.lnk
%Programs%\System Progressive Protection\System Progressive Protection.lnk
%AppData%\[ランダム]\[ランダム].exe

以下のレジストリ項目が削除されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “[ランダムな文字]“
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection\

この不正なウイルス対策ソフトウェアを削除するのは比較的簡単です。ドロップされたファイルとレジストリ項目を削除してください。このマルウェアにより、感染したマシンにインストールされているアプリケーションの多くがブロックされますが、Internet Explorerはブロックされないので、インターネットにアクセスしてマルウェア駆除サイトを使用することができます。