Live Security Premiumという偽セキュリティ製品


by Tomo

すっかりお馴染みになった感のある偽セキュリティソフトの中でもLive Security Premiumは非常に厄介なプログラムです。

【Live Security Premiumのメイン画面】

偽セキュリティソフトの特徴は、

① 多数のウイルスに感染していると警告が出る。

② このセキュリティ製品を購入しろ!というウインドウが出る。

③ タスクマネージャーやレジストリエディターが起動できない。

④ ブラウザーが起動しない。

⑤ 壁紙が乗っ取られて真っ黒になる。

⑥ デスクトップやドキュメントの中のファイルが消える。(属性が隠しファイルに変更される。)

等などの症状が出ます。

このマルウェアの実行ファイル(約30文字のランダムな数字とアルファベットの混在したファイル名.exe)はC:\Programdata 内の約30文字のランダムな数字とアルファベットを混在したフォルダ内に見つけることができます。(Windows XPの場合はC:\Documents and Settings\All Users\Application Data 内)

マルウェアの実行ファイルとレジストリ(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce内の約30文字のランダムな数字とアルファベットの混在したファイル名.exe)を削除すれば対応はほぼ終了なのですが、このマルウェアはセキュリティ製品をインストールさせなくするファイル(任意の約10文字のアルファベット.dll)を『C:\Windows\System32 』フォルダ内に生成し、正規のセキュリティ製品をインストールできなくしてしまいます。(ウェブルート セキュアエニウェアのインストールファイルをダブルクリックしてもインストールが開始されません。)

Windowsのイベントビューアーで『アプリケーション』をクリックし、WRSA.exeのアプリケーションエラーを見つけ、『障害が発生しているモジュールパス』に表示されるファイルを削除すれば、ウェブルート セキュアエニウェアがインストール可能になります。

この様に昨今の偽セキュリティソフトは日々進化を続け、ユーザーのPCを脅威にさらします。

※こういった偽セキュリティソフトはJavaやAdobe社のAcrobat等の脆弱性を狙ってPCに入り込みます。JavaやAcrobat等のプログラムは常に最新にしておく必要があります。

※PCにインストールされたJavaやAcrobat等のプログラムが最新かどうかはJPCERTコーディネーションセンターと独立法人情報処理推進機構(IPA)が共同で提供するポータルサイトで確認することができます。

(詳しくはMyJVNのページhttp://jvndb.jvn.jp/apis/myjvn/ をご覧ください。)

wordpress blog stats