【テクニカルレポート】被害確認! 偽システム修復ツール「Windows Recovery」……トレンドマイクロ・セキュリティブログ | RBB TODAY

【テクニカルレポート】被害確認! 偽システム修復ツール「Windows Recovery」……トレンドマイクロ・セキュリティブログ

ブロードバンド セキュリティ

図1:ユーザのPCを検索している画面
  • 図1:ユーザのPCを検索している画面
  • 図2:検索終了後のエラー警告画面
  • 図3:エラー修復中であることを表示している画面
  • 図4:「ハードディスクに問題があるため再起動が必要」と警告される
  • 図5:「Setting & Options」のタブ
  • 図6:「activate」を押すとアクティベーションコードの入力を要求される
 サイバー犯罪者の金銭的利益の源泉として数多くの偽セキュリティソフトが猛威をふるっていますが、昨今は偽の「システム修復ツール」も出回っています。2011年5月に日本国内でも被害が顕在化してきた「Windows Recovery」について、本ブログにて注意喚起します。

 ユーザに対し突然不正プログラムに感染したとして、正規のセキュリティソフトを装って駆除など適切な処理を促しつつ金銭や個人情報を詐取する偽セキュリティソフト。本ブログにおいても複数の事例を紹介するとともに、注意喚起してきました。

「わつぃの設定」~おかしな日本語を表示する偽セキュリティソフト
 http://blog.trendmicro.co.jp/archives/4079
被害報告増加中! 偽セキュリティソフト「MS Removal Tool」にご用心
 http://blog.trendmicro.co.jp/archives/4086
遂にMac向け偽セキュリティソフトが登場
 http://blog.trendmicro.co.jp/archives/4157

 2011年5月に入ってから、偽セキュリティソフトではなくユーザの PC のハードディスクの不具合を警告し、その修復と引き換えに金銭を要求する「偽システム診断ツール」とも言える「Windows Recovery」について、複数の国内ユーザから相次いで被害報告が届きました。具体的な動きを、画像を交えて見てみましょう。

■突然の警告と購入を促す手順は偽セキュリティソフトと同様

 トレンドマイクロのウイルス対策製品で「TROJ_FAKEAV.SM29」という名前で検出する「Windows Recovery」は、ユーザの PC にWebサイトを通じて侵入すると図1 のような画面を出し、ユーザの PC内の検索を行なっているかのように錯覚させます。

 製品名に「Windows」という名前を用いていたり、Microsoft Office のアイコンに似せたマークを用いていたりするなど、最近の偽セキュリティソフトの例に漏れることなく、外見は非常に精巧であるといえます。

 検索が終了すると、図2のような画面が出ます。ここでは「11 Errors detected! Error fix is required!(11件のエラーを検出しました。修復が必要です)」というメッセージが表示されていることがわかります。

 そこでユーザが図2の中央下にある「Fix Errors(エラーを修復)」をクリックすると、購入サイトに誘導されます。購入サイトではクレジットカード番号などの入力が促され、「Windows Recovery」の購入手続きが完了します。また、修復を実行すると図3 のようにエラーを修復しているかのような画面が出ますが、続いて図4 のエラー表示が出て、システムの再起動を要求されます。

 「Setting & Options」のタブを押すと、図5の画面が表示されます。現在のところ英語だけに対応しているようです。

 右下の「activate」を押すと図6 のようにアクティベーションコードの入力画面が表示されます。このアクティベーションコードの入力を行わないと、ハードディスク内のデータを確認することができないかのように錯覚させます。実際には、すべてのファイル/フォルダを「隠しファイル」属性にして、エクスプローラの設定を「隠しファイルを表示しない」に変更しているだけであるため、感染している状態であっても手動でエクスプローラの設定を「すべてのファイルを表示する」に変更すると、隠されていたファイルはすべて確認できます。ただし、スタートメニューの「全てのプログラム」にあるショートカットはすべて削除され、デスクトップ上での右クリックができなくなるなどのシステム改変が行われるため、ユーザとしてはデータを “人質” に取られ “身代金” を要求されるという「ランサムウェア(身代金詐欺を行う不正プログラム)」の一種であるとも言えるでしょう。

 また、ユーザの PC の OS ごとに「Windows xp Recovery」や「Windows 7 Recovery」という名称で同じように動作する「Windows Recovery」の亜種の流通も確認しており、現在解析を進めています。万が一、感染してしまった場合も焦らず「ウイルスバスター2011 クラウド」の体験版などを使用して対処ください。

■求められる対策 ~まずは正規セキュリティソフトの導入から~

 このような偽ソフトへの対策は、正規版のセキュリティソフトの導入が必須です。前述の通り、「ウイルスバスター2011 クラウド」をはじめとしたトレンドマイクロのウイルス対策製品ではこの「Windows Recovery」を含む複数の偽ソフトを「TROJ_FAKEAV.SM29」として検出します。

 また、PCに保存している重要なデータは定期的に外部メディアやオンラインストレージにバックアップを取るという予防策も重要です。「トレンドマイクロ オンラインストレージ SafeSync」など、いつでもどこからでもデータへアクセスが可能で、他者との共有も容易なサービスの活用もあわせて検討ください。
《RBB TODAY》

関連ニュース

特集

page top