1か月ほど前、ウイルス対策ソフトウェアを装う新種のマルウェアであるSystem Progressive Protectionが初めて登場しました。このマルウェアは不正なセキュリティ製品であるWinwebsecファミリーに属しており、ドライブ・バイ・ダウンロードによって配布されたり、別のマルウェアによって作成、実行されたりします。System Progressive Protectionに感染すると、感染マシン上の他のアプリケーションにアクセスができなくなってしまいます。また警告メッセージによって感染が検出されたと主張し、ユーザーを脅して対策ソフトを購入させようとします。このようなマルウェアは、システムを「正常な状態に戻す」と偽って、ユーザーから金をゆすり取ります。コンピューターのスキャンは実際には何も行われません。
「スキャン」が完了すると、System Progressive Protectionは、いくつかのアプリケーションがマルウェアに感染していると報告し、感染したPCの所有ユーザーを脅します。また、ポート1214を介して112.121.178.189に接続します。この時点で、ターゲットはアプリケーションを実行できなくなります。System Progressive Protectionは、すべてのアプリケーションがマルウェアに感染していると主張します。
被害者のユーザーがSystem Progressive Protectionを起動しようとすると、Webページが開き、オンライン決済を行うよう指示されます。
System Progressive Protectionは、アクティベーションコードを入力するようターゲットに指示します。
ターゲットがアクティベーションコードを入力すると、再びアプリケーションを使用できるようになりますが、偽のウイルス対策ソフトウェアは依然としてマシンに残ります。
登録後、すべての感染が駆除されたというメッセージが表示されます。また、System Progressive Protectionのサポートへのインターネットショートカットファイルも作成されます。
Webページには、ユーザーガイド、サポート、FAQが掲載されているようです。
マルウェアは新しいファイル(PECompactで圧縮)をメモリに作成し、実行します。
暗号化されたデータが.rsrcセクションから取得されます。
感染後、以下のファイルがターゲットマシンにドロップされます。
- %Desktopdir%\System Progressive Protection.lnk
- %Programs%\System Progressive Protection\System Progressive Protection.lnk
- %AppData%\[ランダム]\[ランダム].exe
以下のレジストリ項目が削除されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “[ランダムな文字]“
- HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection\
この不正なウイルス対策ソフトウェアを削除するのは比較的簡単です。ドロップされたファイルとレジストリ項目を削除してください。このマルウェアにより、感染したマシンにインストールされているアプリケーションの多くがブロックされますが、Internet Explorerはブロックされないので、インターネットにアクセスしてマルウェア駆除サイトを使用することができます。
ユーザーへのアドバイス
最新の修正プログラムをインストールして、システムを常に最新の状態にしてください。マルウェア対策が最新の状態であることを確認してください。信頼できるファイアウォールを使用しましょう。新しいWebサイトにアクセスする際は、ドライブ・バイ・ダウンロードに注意してください。
関連記事
- [2011/04/15] 偽ウイルス対策ソフトや、トロイの木馬と関わりを持つルートキット
- [2010/12/01] グーグル検索をターゲットにする、偽ウイルス対策ソフト
- [2010/08/06] 偽ウイルス対策ソフトの検出回避策
- [2010/05/17] 偽ウイルス対策ソフトの感染経路
- [2010/07/30] 偽ウイルス対策ソフトの感染経路-2
- [2010/08/13] 偽ウイルス対策ソフトの感染経路-3
※本ページの内容はMcAfee Blogの抄訳です。
原文:‘System Progressive Protection’ Another Form of Fake AV
