偽ウイルス対策ソフトの感染経路-2

• 脅威情報
• 2010.7.30

ユーザーに偽のウイルス対策やスパイウェア対策ソフトの購入を迫るスケアウェアには、様々な種類があります。その中でも主流を占めるのは、個人ユーザーをターゲットにした「Personal Antivirus」系の、悪質な偽ウイルス対策ソフトです。今回はサンプルとして、「Alpha Antivirus」と称する偽ウイルス対策ソフトを取り上げ、一連の感染経路を観察してみます。

この偽ウイルス対策ソフトのファイルは、「alphaav.exe」と「msnaoladdon.dll」という名前です。Alpha Antivirusは、多くの偽ウイルス対策ソフトと同様に、攻撃用WebサイトでホスティングしているWebページをポップアップ表示し、自らをユーザーに宣伝します。宣伝用WebページはWindowsのエクスプローラやセキュリティ警告ダイアログに似せてあり、まずは「感染した」システムに対し、無料で偽オンラインセキュリティ検査を実行します。

偽オンラインセキュリティ検査の画面

そしてこのファイルは、Alpha Antivirusをインストールするよう求めるメッセージを表示します。ユーザーがその指示に従うと、Alpha Antivirusはまるでスキャンしたかのような表示をして、複数の感染が見つかったという嘘の報告を行います。

Alpha Antivirusが実行する偽スキャン

嘘の感染レポート

さらに、Windowsのタスクバーから誤解させるような内容の警告をポップアップ表示します。

Alpha Antivirusの偽の警告

Alpha Antivirusは、自分自身のコードを「%ProgramFiles%\AlphaAV\AlphaAV.exe」としてダウンロードし，DLL「msnaoladdon.dll」をWindowsのシステムフォルダに格納します。なお、「%ProgramFiles%」は、Windowsの「C:\Program Files」といったプログラム格納用フォルダを意味します。そしてこのDLLを、ブラウザヘルパーオブジェクト（BHO）の形でInternet Explorer（IE）に組み込みます。

偽ウイルス対策ソフトは、名前やファイル名、GUIを突然変えることがよくあります。新たに登場した偽ウイルス対策ソフトについて、セキュリティ分野の企業や研究者が情報を発信すると、マルウエア作者は、「製品」の名前やファイル名を新たに作成し、再度パッケージ化を行います。また、ユーザーに正体を見破られず、セキュリティベンダーから見つからないようにするため、必要なファイルに施す難読化と暗号化を強化します。

最後に、このような偽ウイルス対策ソフトのターゲットにならないよう、簡単なアドバイスを述べたいと思います。ウイルス対策ソフトを購入する場合は、怪しいWebサイトへのアクセスは避け、必ず信頼できるセキュリティベンダーのWebサイトから、インストールを行いましょう。またウイルス定義ファイルを、常に最新状態に維持しておくことも重要です。