【テクニカルレポート】被害報告増加中! 偽セキュリティソフト「MS Removal Tool」にご用心……トレンドマイクロ・セキュリティブログ | RBB TODAY

【テクニカルレポート】被害報告増加中! 偽セキュリティソフト「MS Removal Tool」にご用心……トレンドマイクロ・セキュリティブログ

ブロードバンド セキュリティ

図1:「MS Removal Tool」(左)と「System Tool」のメイン画面
  • 図1:「MS Removal Tool」(左)と「System Tool」のメイン画面
  • 図2:「Security Tool」(左)と「System Tool」のメイン画面
  • 図3:「System Tool」(左)と「MS Removal Tool」の購入画面
  • 図4:閉じようとすると表示される画面
  • 図5:「OKを押すとPCのクリーンナップを行う」と知らせる画面
  • 図6:検索が完了し「38の感染をクリーンナップした、再起動が必要」と表示
 2010年から 2011年にかけて本ブログでは偽セキュリティソフトに関する話題を多く取り上げ、注意喚起してまいりました。たびたびとなりますが、以前もお知らせした「System Tool」に酷似した新たな偽セキュリティソフト「MS Removal Tool」の流通と被害を確認したため、ここに注意喚起と対処法をご紹介します。

 偽セキュリティソフトとは、正規のセキュリティソフトを偽り、ユーザにウイルスなどへの感染を装ってソフトの購入を促し、金銭や個人情報を詐取する不正プログラムです。昨年大きな話題になった「ガンブラー」攻撃でも、不正プログラムに感染したユーザは最終的に偽セキュリティソフトがダウンロードさせられてしまったという被害が相次ぎましたが、そのような被害は継続して発生しています。

偽セキュリティソフト:http://jp.trendmicro.com/jp/threat/aboutthreat/detail/fake/

 2011年3月に本ブログでは、過去に確認した「Security Tool」に酷似した偽セキュリティソフトとして「System Tool」の注意喚起を致しました。しかし、3月末にはその「System Tool」に酷似した新たな偽セキュリティソフト「MS Removal Tool」が登場していたことを確認しました。

偽セキュリティソフト「System Tool」が猛威-2011年2月の脅威動向を振り返る
 http://blog.trendmicro.co.jp/archives/3946

■酷似したメイン画面

 まずは、図1をご覧ください。メイン画面右上の製品名のところ以外は同じと言っていいほど酷似していることがおわかり頂けるでしょう。酷似した偽セキュリティソフトを使用しているからといえ作成者が同一とは限りませんが、「System Tool」を何らかの形で模倣した事は明らかと言えます。

 前回の「Security Tool」と「System Tool」の比較では、全体の色味や細かいところに多少の変更が加えられておりましたが、今回は大きな改変が見当たりません。

■感染後の動作もほぼ同様、購入画面も酷似

 では、不正プログラムとしての動きはどうでしょうか。「System Tool」は PC の壁紙に警告画面を表示するという手法を用いていました。一方、「MS Removal Tool」では濃いブルーの無地の壁紙に変更されるものの、特に警告画面は表示されません。

 侵入後は複数の不正プログラムへの感染の警告を表示し、最終的に個人情報等の入力を迫る図3のような購入画面を表示します。この購入画面も、価格も含めほぼ同じといっていいほど酷似しています。

 感染してしまうと、「System Tool」同様、他のアプリケーションの起動を阻害するなどの妨害行為を行い、正規のセキュリティソフトによる駆除を困難にします。

■プロダクトキー認証の動作 ~画面は青色に~

 通常のブログ記事であればここまででプログラムの動作のご紹介は終わりますが、本事例ではリージョナルトレンドラボによる解析の結果、プログラム内にプロダクトキーの認証を行う仕組みが存在することが明らかになりましたので、併せて紹介致します。

 購入処理を行うと、一般的なソフトウェア製品と同様に「プロダクトキー」が発行されるものと推測されます。解析の結果、以下のようなプロダクトキーが存在することが明らかになっています。

WNDS-S0DF5-GS5E0-FG14S-2DF8G
WNDS-JUYH3-24GHJ-HGKSH-FKLSD
WNDS-89OF7-7324R-5SAD4-TG68U
WNDS-HFVDR-9844O-U54DA-5TBSC
WNDS-4BGY2-JY4KO-IT98Y-7HJ43
WNDS-5D1V2-XB0D5-JT1TY-97DS3
WNDS-G8FB6-1V87S-DRT1S-63SRG
WNDS-F40SA-1ER5H-4FG5D-F8412
WNDS-SERFH-2642S-F04SD-64FG1
WNDS-ADEEF-FEADD-2FEAA-3EFA7
WNDS-ADEEE-3ADEF-4A78C-32768

 このようなプロダクトキーを入力すると「登録が完了しました」という図4 のような画面が表示され、「OKを押すとクリーンナップを始める」という図5の画面が続き、検索が完了したとして図6の画面が出るのです。

さて、図4から図6と、図1などを比較すると、メイン画面が水色に変わっていることに気付くのではないでしょうか。どうやらプロダクトキーを入力し、製品を有効化すると背景色が淡い桃色から水色に変化するようです。

■感染予防は正規ソフトの利用、感染してしまったときはプロダクトキーを入力し弱体化させる

 リージョナルトレンドラボの調査では、この「MS Removal Tool」は改ざんされた正規Webサイトを経由して侵入することを確認しています。感染直後は画面に変化がないものの、再起動すると図1のようなメイン画面が表示され、他のアプリケーションが起動できなくなります。

 感染を予防するためには正規のセキュリティソフトを導入し、適切に運用することが一番の近道です。トレンドマイクロの「ウイルスバスター2011 クラウド」を例にとると、
「MS Removal Tool」のダウンロード元となる不正Webサイトへの接続を「Webレピュテーション技術」でブロック
「MS Removal Tool」そのものを「TROJ_FAKEAL.VTG」として検出

といった2段階の防御が有効であることを確認しています。

 セキュリティソフトを導入していない環境において「MS Removal Tool」に感染してしまった場合は、まずは上記のプロダクトキーの入力をお試しください。これにより「MS Removal Tool」の機能が弱体化され、他のアプリケーションを起動することができるようになるため、「ウイルスバスター2011 クラウド」の体験版などをインストール頂き、駆除を行ってください。

ウイルスバスター2011 クラウド 30日無料体験版
 http://virusbuster.jp/vb2011/trial/

※同記事はトレンドマイクロ株式会社による「セキュリティブログ」の転載記事である。
《RBB TODAY》

関連ニュース

特集

page top