Windows Troubles Killer / Salvage System : 今週のニセモノ図鑑


By Stephen Ham and Andrew Brandt

今週取り上げる偽ソフトは、システム ユーティリティに見せかけたもので、単なるウイルス対策製品ではありません。しかし、いずれにせよ、騙しの手口は同じです。つまり、コンピューターが壊れたとユーザーに思い込ませて、インチキ商品を強引に売り付けようとします。

ソフトの名前は、Windows Troubles KillerWindows Salvage System です。名前は 2 つありますが、実質的にまったく同じプログラムです。実のところ、嘘八百とでっち上げを並べてもっともらしく飾り立てた、ハイブリッド型の偽ソフトと言えます。謳い文句によると、コンピューターをスキャンしてソフトウェア設定やシステム最適化に関連するらしい問題を検出できるだけでなく、コンピュータの安全性やネットワーク セキュリティまでチェックできるとのことです。そしてもちろん、包括的なパッケージとして、ウイルス対策機能も備えているといいます。

全体としては、この偽ソフトの削除にはさほど手間はかかりません (手動での削除も、当社のソフトウェアによる削除も可能)。しかし、システムに独自の改変を加えるため、正規のセキュリティ ソフトウェアが使えなくなったり、Windows の重要な機能が無効になったり、Microsoft 自身のソフトウェアと同じような動作をしたりなど、いろいろと邪魔な挙動を見せつつ、感染したコンピューターのセキュリティ レベルを低下させてくれるという代物なのです。詳しくはこれから説明していきます。

インストール先は %appdata%\Microsoft というパスで、アルファベット 6 文字のランダムなファイル名が付きます。アイコンは貨物梱包用の木箱のような絵柄です。人類にとって、強度、保護力、耐久性という面で最も優れた素材は木だから、という理解でよろしいのでしょうか。

インストール後の動作は、ランサムウェア風の偽ソフトにいかにもありがちなものです。Windows と共に起動し、デスクトップが読み込まれないように妨害し、ライセンス キーを購入した場合の「エラー修復」の機能しか使えないようにします。

この偽ソフトのユーザー インターフェイスで設定タブを見ると、このソフトを一時的に中断してデスクトップの読み込みを続行できるようなオプションがあります。しかし、デスクトップにアクセスできたからといって、コンピューターの機能をすべて使えるようになるわけではありません。タスク マネージャー、コマンド プロンプト、Internet Explorer など、大半の Windows アプリケーションは、この偽ソフトの妨害によって起動できないようになっています。

この偽ソフトには、パワー ユーザーが使うソフトに対処した機能もあります。Microsoft の Process Explorer をマルウェアとして「検出」したり、HijackThisProcess MonitorTCPViewPEiD など、アプリケーションの除去や解析を手動で行うためのツールを強制終了させたりなどです。

Windows をセーフ モードで再起動しても、この偽ソフトは立ち上がります。残念ながら、機能は通常時と同じです。ただ、セーフ モードで起動すると、セーフ モードとは何かを説明した小さなダイアログ ボックスを表示してくれます (とはいえ、無知蒙昧なマルウェアという立場からの説明です。しかも、セーフ モードのことをセーフ ブートと呼んでしまっています)。

この偽ソフトでは、私が使おうとしたプロセス ビューアー 3 種類 (Process HackerPrcViewNirSoft CurrProcess) も強制終了に遭いました。ただし、Process Explorer のときとは違い、直ちに終了させられたわけではありません。最初は普通に使えるものの、偽ソフトを終了させようとすると、逆にプロセス ビューアー自体が終了させられる、という動作でした。NirSoft CurrProcess では、返り討ちに遭う前に偽ソフトのプロセスを終了させることに成功しました。その後、Windows を再起動するまでは、偽ソフトが自動的に再度立ち上がることはありませんでした。

この偽ソフトが行うのは、解析用ツールの強制終了だけではありません。Windows のレジストリに IFEO (イメージ ファイルの実行オプション) というキーをいくつか設定する処理も行います。IFEO のキーに debugger (デバッガー) という値が設定されていると、キー名のプログラムの代わりに、debugger で指定した名前のファイルが起動されるという機能があるからです。IFEO キーは、通常はしかるべき用途で有効な役割を果たすものですが、近年では、特定のウイルス対策製品の起動や正常動作を妨げる目的で、偽ソフトやパスワード盗難ソフトが悪用するようになっています。

IFEO キーはレジストリの次の場所にあります。

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\(プログラム名)

今回の偽ソフトの IFEO キーで標的となっているのは、Avast Firewall、Avast Antivirus、ESET Smart Security、Windows Defender (Microsoft 製の本物)、Microsoft Security Essentials (上記の msascui.exe) などです。偽ソフトが入り込むと、マシンの再起動後にこれらのソフトが起動しなくなり、svchost.exe が一瞬起動してすぐ終了するという動作が見られます (タスク マネージャーを開ければですが)。また、Microsoft Malware Protection ServiceWindows Defender サービス (存在する場合) も終了の目に遭い、サービスが無効に設定されるため、再起動後には立ち上がらなくなります。

さらに、システムの機能を無効にする以下のキーも設定されます。

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system | enablelua | 0
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system | consentpromptbehavioradmin | 0
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system | consentpromptbehavioruser | 0
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\systemrestore | disablesr HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings | warnonhttpstohttpredirect | 0

上記のキー設定では、ユーザー アカウント制御が無効になり、管理者のアクセス権が必要なプログラムの実行時の通知が一切なくなり、システムの復元機能が無効になり、暗号化のない素の HTTP で Web サイトに送信するフォームにデータを入力しても IE から警告が表示されなくなります。Trouble Killer / Salvage System の申し込みフォームの送信は、この最後の設定によって実現されています。

wordpress blog stats