今週のニセモノ図鑑 : XP Total Security と MS Removal Tool


By アンドリュー・ブラント / Andrew Brandt

太陽の光は、どんなものにでも殺菌効果を発揮するとよく言われます。そこで今週からは、サポート スタッフと脅威調査チームが修正プログラムの作業に当たっている偽ウイルス対策プログラムに、毎週、太陽光の集中ビームを浴びさせたいと思います。

偽物たちは、名前を変え、ユーザー インターフェイスなどの外観の特徴を変えて現れる傾向がありますが、中身の機能はほとんど同じです。そして、こうしたタイプのマルウェアが使用している機能、つまり詐欺の手口は巧妙なため、不正プログラムであると特定したり、感染したコンピューターから除去したりすることは困難です。偽プログラムから顔を見せないいかさま師 (あるいは、親の陰でコソコソしている悪ガキ) に、実際に便利で価値のあるツールが作れたわけでもないでしょうに。

さて、「今週のニセモノ図鑑」の初回は、脅威調査アナリストの Brenden Vaughan と Stephen Ham からの投稿で、MS Removal Tool と XP Total Security を採り上げます。

MS Removal Tool

今週、感染例がもっとも多かったのは、MS Removal Tool という偽セキュリティ製品です。これは、最新の偽システム ツールの亜種にすぎません。何が「ツール」なものですか。感染すると、こんなウィンドウが表示されます。

サポートからは、この偽ツールの亜種として、Windows Recovery、Windows Repair、Windows Restore などの名前で非常に多くの事例が報告されていますが、これらはすべて、同じプログラムが「看板を掛け替えた」だけのものです。

これらの偽プログラムには Microsoft Office のロゴに似せたアイコンが付けられていますが、言うまでもなく、実際の Microsoft 製品ではありません。

プログラム自体は %appdata%\Microsoft フォルダーにインストールされますが、システム ツールの他の亜種と同様、具体的なパスはきわめて無作為に設定されます。

この偽プログラムが起動すると、すべての実行可能ファイルが実行できなくなります。ただし、Windows をセーフ モードで起動して駆除することにより、感染プログラムを削除できます。

Stephen Ham の調査によると、スパム メールの中に MS Removal Tool のドライブバイ ダウンロードを実行するリンクが含まれています。スパム メールには、「Free Discount Card (割引券を無料でご提供)」などのメッセージがあります。これを見る限り、偽プログラムの作成者たちはなんだかやる気がないようです。クライムウェアをばらまいている君たち、わかりやすいメールをありがとう。おかげで仕事がとってもやりやすくなりました。

技術情報 :

偽の実行可能ファイルは次の場所にインストールされます (<random> は予想できない英数字の任意の組み合わせで、偽プログラムをコンピューターにインストールするたびに変わります)。

C:\Documents and Settings\All users\Application Data\<random>\<random>.exe

偽プログラムは、レジストリの次の場所で開始点を設定します。

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce

<random>= C:\Documents and Settings\All users\Application Data\<random>\<random>.exe

– Vaughan & Ham

XP Total Security

サポート チームが今週よく見かけた、もう 1 つの偽セキュリティ プログラムは、ランダムな 3 文字のファイル名を持つ偽プログラムの亜種です。この偽プログラムを分析したアナリストによると、実行しているオペレーティング システムによって、このプログラムのユーザー インターフェイスと名前が変わります。

下のリストは、作成者がこの偽プログラムのために思い付いた名前をいくつか並べたものです。

Windows XP Windows Vista Windows 7
XP Anti-Virus Vista Anti-Virus Win 7 Anti-Virus
XP Anti-Virus 2011 Vista Anti-Virus 2011 Win 7 Anti-Virus 2011
XP Anti-Spyware Vista Anti-Spyware Win 7 Anti-Spyware
XP Anti-Spyware 2011 Vista Anti-Spyware 2011 Win 7 Anti-Spyware 2011
XP Home Security Vista Home Security Win 7 Home Security
XP Home Security 2011 Vista Home Security 2011 Win 7 Home Security 2011
XP Total Security Vista Total Security Win 7 Total Security
XP Total Security 2011 Vista Total Security 2011 Win 7 Total Security 2011
XP Security Vista Security Win 7 Security
XP Security 2011 Vista Security 2011 Win 7 Security 2011
XP Internet Security Vista Internet Security Win 7 Internet Security
XP Internet Security 2011 Vista Internet Security 2011 Win 7 Internet Security 2011

– Vaughan



wordpress blog stats