今週のニセモノ図鑑 :Windows Recovery


By アンドリュー・ブラント / Andrew Brandt

アドバンスト マルウェア リムーバル (AMR) チームからの先週の報告によると、前の週から特に目立った変化はなく、相変わらず前回このブログでお知らせした偽アンチウイルス ソフトが蔓延しているとのことです。

今回は、最近問題になり始めた偽アンチウイルス ソフトに焦点をあてたいと思います。この偽アンチウイルス ソフトは通称 Windows Recovery と呼ばれていますが、他アンチウイルス ソフトウェア ベンダーからは Ultra Defragger または HDD Rescue とも呼ばれています。これもまた結局、巧妙な手口で、「駆除」するためと称して金銭を要求する不正プログラムの 1 つですが、単なる偽アンチウイルス ソフトではなく、偽システム ユーティリティと呼ぶべきものです。幸いなことに、この偽アンチウイルス ソフトの被害にあっても、比較的単純に、手動で駆除することができます。

この偽アンチウイルス ソフトの手口は、簡単に言えば、ユーザーをだまし、コンピューターのハード ドライブで重大な不具合が起きていると信じさせようとします。偽アンチウイルス ソフトは、あらゆる巧妙な手口を使ってユーザーをだまそうとします。たとえば、ブート ドライブにあるすべてのファイルの属性を「非表示」に設定し、レジストリを不正に操作して Windows で非表示属性のアイコンを表示できないようにします。

また、プログラムへのショートカット ファイル ([スタート] メニューにあるものとデスクトップ上にあるものの両方) を一時フォルダーに移動し、[スタート] メニューを使えない状態にしてしまいます。さらには、レジストリを操作し、ユーザーがタスク マネージャを起動できないようにしたり、壁紙を変え (さらに、ユーザーがその壁紙を変更できないようにし)、その壁紙でデスクトップ全体を覆い隠してしまったりします。

クリーンなテスト機で Windows Recovery のインストーラーを実行してみたところ、プログラムはすぐに開始されましたが、しばらくの間アイドル状態になりました。そして数分後に、Hard Drive Failure (ハード ドライブ エラー) というタイトルのダイアログ ボックスに、「The system has detected a problem with one or more installed IDE / SATA hard disks. It is recommended that you restart the system. (インストールされている 1 つまたはそれ以上の IDE または SATA ハード ディスクでエラーが検出されました。システムを再起動することをおすすめします。)」というエラー メッセージが表示されました。ここで再起動したら大変なことになります。

なぜならば、バックグラウンドで実行している偽アンチウイルス ソフト ([All Users] フォルダー配下の [Application Data] フォルダーから実行) の仕業により、C ドライブにあるすべてのファイルの属性が「非表示」に設定され、再起動後に非表示属性のすべてのファイルが消えるようレジストリが操作されているからです。また Internet Explorer のお気に入り設定が消され、[スタート] メニューおよびデスクトップにあるプログラムを参照しているすべてのショートカットが %temp%\smtmp フォルダーに移動されています。

再起動後、Windows はいつもと同じようには起動しませんでした。偽アンチウイルス ソフトはすべてを非表示としたまま「スキャン」モードに入りました。

スキャンが完了すると、あたかもシステムが重大な被害を受けているような画面が表示されます。

その他、テスト機の状態についての次のようなメッセージも表示されました。

  • Drive C initializing error (C ドライブ初期化エラー) — 意味が理解できません。コンピューターはきちんと起動しています。
  • Bad sectors on hard drive or damaged file allocation table – Critical Error (不良セクターを含むハード ドライブ、またはファイル アロケーション テーブルの破損 – 致命的なエラー) – もし本当ならば、たしかに致命的です。
  • Read time of hard drive clusters less than 500ms – Critical Error (ハード ドライブ クラスターの読み出し時間が 500 ミリ秒未満 – 致命的なエラー) – 高速すぎるハード ドライブは問題、ということでしょうか。
  • A problem detected while reading boot operating system files (OS 起動ファイルの読み出し中にエラーを検出しました) – わざわざご報告ありがとう。ちなみに、コンピューターはきちんと起動しています。
  • Hard drive doesn’t respond to system commands (ハード ドライブがシステム コマンドに反応しません – 致命的なエラー) – 誰のせいだと言うのでしょうか。
  • RAM memory temperature is 83°C. Optimization is required for normal RAM functi… (RAM メモリの温度が 83°C です。RAM を正常に動作させるためには最適化する必要があります) – 念のため確認したいのですが、メモリ モジュールの温度とメモリの最適化との間に一体どんな関係があるのでしょうか。
  • Boot sector of the hard drive disk is damaged – Critical Error (ハード ドライブ ディスクのブート セクターが破損しています – 致命的なエラー) – たしかに致命的ですが、本当ならばこのメッセージが読めているはずがありません。
  • 40% of HDD space is unreadable – Critical Error (ハード ディスク ドライブの 40 % の領域が読み取り不能です – 致命的なエラー) – レジストリを変更したのは誰だと言うのでしょうか。

スクリーンショットはこちらこちらこちらから参照できます。

これが延々と続きます。

次に、何か修正作業を行っているかのように見せかけるための動作が始まります。手の込んだ動画が表示され、無数の小さな四角形がさまざまな色で点滅します。まるでスタートレック/宇宙大作戦で登場するコンピューター コンソールのようです。

もう一度言いますが、テスト機自体にはまったく問題なく、これらの機能不全はすべて、偽アンチウイルス ソフトの自作自演なのです。

偽アンチウイルス ソフトは、自ら検出したとする問題のいくつかについては解決できると言ってきます。もちろん、その他の問題ついては、非常にお得な料金で解決できるそうです。偽アンチウイルス ソフトの製作者が勝手に決めた値段で。悪意に満ちた、押しつけがましい、最悪な販売方法です。

偽アンチウイルス ソフトがシステムに対して行った操作を手動で元に戻すことは可能です。ただし、それにはキーボードのショートカットを使用する必要があります。いつものようにフォルダーや [マイ コンピュータ] アイコンをクリックしても、これらのプログラムは表示されませんが、代わりにキーボード ショートカットを使用することができます。Windows キーを押しながら E キーを押すと Explorer が起動し、Windows キーを押しながら R キーを押すと [ファイル名を指定して実行] ダイアログが表示されます。この [ファイル名を指定して実行] ダイアログからプログラムを起動できます。

非表示属性にされたファイルの問題を解決するには、[ファイル名を指定して実行] ダイアログから、Windows Recovery が使用したものと同じコマンドを、今度は「表示」に設定されるように実行すればいいのです。次のコマンドを使用します。

attrib -h “C:\*.*” /s /d

このコマンドをこのとおり入力し、[OK] をクリックします。しかし、これで完了ではありません。

次のリストは、偽アンチウイルス ソフトが変更したレジストリ キーと、そこに設定されている値を示したものです。レジストリの操作に慣れている方ならば、1 を 0 に、0 を 1 に変更することで元に戻すことができます。操作を誤るとコンピューターが破損し、起動不能になってしまう恐れがあるため、レジストリの操作に慣れていない方は、変更を行わないでください。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Hidden | 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | ShowSuperHidden | 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallPaper | 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer | NoDesktop | 1

これらのキーは、偽アンチウイルス ソフトがタスク マネージャを無効にするために設定したものです。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr | 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system | DisableTaskMgr | 1

これらのキーも偽アンチウイルス ソフトが設定したものです。これらは単に削除すれば済みます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations | LowRiskFileTypes |
{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments | SaveZoneInformation | 1

wordpress blog stats