【テクニカルレポート】被害確認! 偽システム修復ツール「Windows Recovery」……トレンドマイクロ・セキュリティブログ
ブロードバンド
セキュリティ
注目記事
-
【デスクツアー】真似したい自宅デスク環境一挙公開!
-
【テクニカルレポート】Facebookユーザを狙う攻撃、相次いで確認される!……トレンドマイクロ・セキュリティブログ
-
【テクニカルレポート】“Adobe Flash Player” に新たなゼロデイ脆弱性を確認。 今回はWordファイルに埋め込まれる……トレンドマイクロ・セキュリティブログ
/
ユーザに対し突然不正プログラムに感染したとして、正規のセキュリティソフトを装って駆除など適切な処理を促しつつ金銭や個人情報を詐取する偽セキュリティソフト。本ブログにおいても複数の事例を紹介するとともに、注意喚起してきました。
「わつぃの設定」~おかしな日本語を表示する偽セキュリティソフト
http://blog.trendmicro.co.jp/archives/4079
被害報告増加中! 偽セキュリティソフト「MS Removal Tool」にご用心
http://blog.trendmicro.co.jp/archives/4086
遂にMac向け偽セキュリティソフトが登場
http://blog.trendmicro.co.jp/archives/4157
2011年5月に入ってから、偽セキュリティソフトではなくユーザの PC のハードディスクの不具合を警告し、その修復と引き換えに金銭を要求する「偽システム診断ツール」とも言える「Windows Recovery」について、複数の国内ユーザから相次いで被害報告が届きました。具体的な動きを、画像を交えて見てみましょう。
■突然の警告と購入を促す手順は偽セキュリティソフトと同様
トレンドマイクロのウイルス対策製品で「TROJ_FAKEAV.SM29」という名前で検出する「Windows Recovery」は、ユーザの PC にWebサイトを通じて侵入すると図1 のような画面を出し、ユーザの PC内の検索を行なっているかのように錯覚させます。
製品名に「Windows」という名前を用いていたり、Microsoft Office のアイコンに似せたマークを用いていたりするなど、最近の偽セキュリティソフトの例に漏れることなく、外見は非常に精巧であるといえます。
検索が終了すると、図2のような画面が出ます。ここでは「11 Errors detected! Error fix is required!(11件のエラーを検出しました。修復が必要です)」というメッセージが表示されていることがわかります。
そこでユーザが図2の中央下にある「Fix Errors(エラーを修復)」をクリックすると、購入サイトに誘導されます。購入サイトではクレジットカード番号などの入力が促され、「Windows Recovery」の購入手続きが完了します。また、修復を実行すると図3 のようにエラーを修復しているかのような画面が出ますが、続いて図4 のエラー表示が出て、システムの再起動を要求されます。
「Setting & Options」のタブを押すと、図5の画面が表示されます。現在のところ英語だけに対応しているようです。
右下の「activate」を押すと図6 のようにアクティベーションコードの入力画面が表示されます。このアクティベーションコードの入力を行わないと、ハードディスク内のデータを確認することができないかのように錯覚させます。実際には、すべてのファイル/フォルダを「隠しファイル」属性にして、エクスプローラの設定を「隠しファイルを表示しない」に変更しているだけであるため、感染している状態であっても手動でエクスプローラの設定を「すべてのファイルを表示する」に変更すると、隠されていたファイルはすべて確認できます。ただし、スタートメニューの「全てのプログラム」にあるショートカットはすべて削除され、デスクトップ上での右クリックができなくなるなどのシステム改変が行われるため、ユーザとしてはデータを “人質” に取られ “身代金” を要求されるという「ランサムウェア(身代金詐欺を行う不正プログラム)」の一種であるとも言えるでしょう。
また、ユーザの PC の OS ごとに「Windows xp Recovery」や「Windows 7 Recovery」という名称で同じように動作する「Windows Recovery」の亜種の流通も確認しており、現在解析を進めています。万が一、感染してしまった場合も焦らず「ウイルスバスター2011 クラウド」の体験版などを使用して対処ください。
■求められる対策 ~まずは正規セキュリティソフトの導入から~
このような偽ソフトへの対策は、正規版のセキュリティソフトの導入が必須です。前述の通り、「ウイルスバスター2011 クラウド」をはじめとしたトレンドマイクロのウイルス対策製品ではこの「Windows Recovery」を含む複数の偽ソフトを「TROJ_FAKEAV.SM29」として検出します。
また、PCに保存している重要なデータは定期的に外部メディアやオンラインストレージにバックアップを取るという予防策も重要です。「トレンドマイクロ オンラインストレージ SafeSync」など、いつでもどこからでもデータへアクセスが可能で、他者との共有も容易なサービスの活用もあわせて検討ください。
《RBB TODAY》
特集
この記事の写真
/
関連リンク
関連ニュース
-
【テクニカルレポート】Facebookユーザを狙う攻撃、相次いで確認される!……トレンドマイクロ・セキュリティブログ
ブロードバンド -
【テクニカルレポート】“Adobe Flash Player” に新たなゼロデイ脆弱性を確認。 今回はWordファイルに埋め込まれる……トレンドマイクロ・セキュリティブログ
ブロードバンド -
【テクニカルレポート】被害報告増加中! 偽セキュリティソフト「MS Removal Tool」にご用心……トレンドマイクロ・セキュリティブログ
ブロードバンド -
【テクニカルレポート】「わつぃの設定」~おかしな日本語を表示する偽セキュリティソフト-2011年3月の脅威傾向を振り返る……トレンドマイクロ・セキュリティブログ
ブロードバンド