新種の詐欺は 5 つの詐欺でワンセット


By アンドリュー・ブラント / Andrew Brandt


長年にわたり、私たちが不正セキュリティ製品と呼ぶいんちきなセキュリティ プログラムの開発者は、かなりの労力を費やして新たな名称を考え、独自のグラフィック デザイン基準を構築し、まったく役に立たない高価な詐欺製品のバックグラウンドをでっち上げてきました。今回の新種の詐欺では、この終わりのないペテンをさらに一歩前進させ、不運な被害者が偽のダイアログ ボックスでクリックしたボタンに応じて 5 つの異なる名前を名乗る 1 つのプログラムがリリースされました。しかし、実際のところ、これは 5 幕から成る悪意に満ちた芝居です。

この不正プログラムの配布方法、あるいはこのメロドラマの第 1 幕は、この 18 か月間で見てきた多数の不正プログラムと何も変わりません。JavaScript で機能拡張した Web ページを使用して、コンピューター上で実際にマルウェアのスキャンが行われているかのように見せかけます。この手法は非常に使い古されたもので、不運な女性を線路に縛り付け、ドラマチックに口ひげの端をひねるサイレント映画の卑劣な悪党をサイバー犯罪で演じているようなものです。今ではこれに引っかかる人はまずいません。

ただし、今回の偽の警告では、別のペイロードが配信されます。被害者がこの偽の実行可能ファイル (名前はただの setup.exe です) を実行すると、第 2 幕が始まります。この不正プログラムは、Microsoft Security Essentials が発行した警告メッセージに似たダイアログ ボックスを表示し、iexplore.exe や cmd.exe などの正規の Windows コンポーネントのほとんどまたはすべてが実はマルウェアであると警告します。

そして親切にオンライン スキャンの実行を申し出て、事態を悪化させていきます。この不正プログラムは、VirusTotal 風に 32 種類のウイルス対策エンジンを使用してハード ドライブをスキャンするふりをします。使用されているウイルス対策エンジンの大部分は、少なくともセキュリティ コミュニティではよく知られたものです。ただし、5 つは新しいもので、注意深く調査する必要があります。

ウェブルートは VirusTotal システムには加わっていないのですが、リストに表示されています。ありがたいことに詐欺一味のリーダーはウェブルートを高く評価してくれたようです。
このでっち上げの最後に、これらの 5 つの「エンジン」で正規ファイルをトロイの木馬だと報告し、都合良く各プログラムで「無料インストール」を申し出ます。

ただし、痛い目に会うのは被害者です。AntiSpy Safeguard、Major Defense Kit、Peak Protection、Pest Detector、Red Cross Antivirus のどれを選択しても、何もダウンロードされません。代わりに第 3 幕が始まります。既にダウンロードしている setup.exe と同じものが、選択した詐欺システムに対応した名前になっているだけです。

面白くなるのはここからです。クリックした無料インストール ボタンに応じて、インストール ウィザードに似た外観のダイアログ ボックスが呼び出されます。インストール ダイアログは製品名以外はまったく同一で、この不正プログラムの作者は GPL ソフトウェア ライセンスの定型テキストを、……

……フリー ソフトウェア財団の Web サイトに掲載されている、さまざまな状況に応じた GPL の表示方法の説明テキストを含めて、丸ごとコピーしたようです。

これまた間抜けです。ソフトウェア ライセンスのクリックラップ契約なんてだれも読まないということでしょうか。

または、よくわからない警告のエラー ダイアログが表示されます。
この茶番が終わると、第 4 幕が始まります。コンピューターの再起動を促すダイアログが表示されます。レジストリが少しいじられているので、再起動後 Explorer シェルが読み込まれる前にこの不正プログラムは起動します。

さあ、ペテン師たちによる大サーカスの始まりです。この製品自体が裏付けているとおり、問題なのはこの不正プログラムの作者の自制心が非常に低いことではないかと私は考えています。

このプログラムは、ハード ドライブのスキャン、感染プログラム (実際はインストール済みブラウザーや正規の Windows コンポーネントなど) の警告、感染していないプログラムに対する「必須のヒューリスティック モジュール」によるウイルス除去の必要性を偽装します。

ファイアウォール (ここでは FireWall) のログにまで少しずつ偽のデータを書き込んでいきます。

最後の第 5 幕は押し売りです。このような存在しない問題を解決するには、もちろん彼らの製品を購入する必要があります。このプログラムは、終身ライセンスをわずか 99.90 ドルで購入することを陽気におすすめします。

幸い、本物のウイルス対策製品のユーザーであれば、この不正プログラムは何の苦もなく除去され、乗っ取られたスタートアップ設定も簡単に削除されます。むしろ修復が難しいのは、この不正プログラムは本当の製品だという作り話を信じてしまうユーザーがいるという事実です。サイバー犯罪に対する表彰式があるとすれば、このツールは詐欺促進部門の最優秀助演男優賞を獲得することでしょう。

wordpress blog stats