McAfee Avert Labs Blog
FakeAlert Trojan Holds Systems For Ransom」より
May 12,2009 Posted by Avelino Rico Jr and Geok Meng Ong

 我々は2009年3月,悪質なトロイの木馬「Vundo」系の新たな亜種(当社は「Ransom-F」として検出する)を顧客に警告し,Vundoの危険度を「Low-Profiled(低レベル)」に上げた。この亜種の出現は,偽の警告メッセージ(FakeAlert)による犯罪モデルが,ただ恐怖をあおるものから,詐欺目的で各種ITリソースを掌握し続ける形態に変わることを示す初めての例かもしれない。同様の手口は今後も使われるはずだ。

 そして5月第2週,「System Security 2009」と自称する偽セキュリティ・ソフトの新しい亜種を見つけた。こちらは「FakeAlert-CO」として検出できる。過去に現れた同系統の亜種には,「FakeAlert-SystemSecurity」として検出するものもある。

 この新しい亜種は,「trustedw(※※※)security.com」というドメイン内のWebページで見つかった。かつて登場したほとんどの偽セキュリティ・ソフトと同様,FakeAlert-COは嘘の警告を表示して「パソコンがマルウエアに感染した」とユーザーをだまし,「修復」に必要な代金を支払うよう求める。FakeAlert-CORansom-Fの流れをくむマルウエアで,我々はFakeAlert-COが脅迫ソフトウエアによく見られる「新機能」を備えていることに気付いた。

 パソコンに入り込んだFakeAlert-COは,実行中の全ユーザー・プロセスを止めるか,ユーザーに再起動を促すかする。

 いずれにしろ,FakeAlert-COはプロセス停止後/再起動後にパソコン内を検査するふりをして,脅威を見つけたという偽の報告で騒ぎ立てる。

 FakeAlert-COはこれまでの亜種と違って,プロセスを止めたWindowsの「タスクマネージャ」,「コマンドプロンプト」といったシステム用ツールやその他オフィス・アプリケーションをすべて実行できなくしてしまう。そして「実行できないファイルはマルウエアに感染している」という内容のメッセージを表示する。ユーザーが問題を解決するには,FakeAlert-COを有料でアクティベートするしかない。

 FakeAlert-COの「製品紹介」サイトは一見きちんとした商用サイトのようであり,購入するライセンスとして2年間または無期限のいずれかを選べる。「割引価格」が適用され,30日間の返金保証まで付いてくる。

 「最高」のサポート・サービスが受けられるオプションにはお金を払えるとても,パソコンを人質に身代金を奪おうとする「製品」など信用できない。

 平均レベルのユーザーにとって,この「セキュリティ製品」のアンインストールは難しい作業である。アンインストール機能が用意されていないし,「コントロールパネル」内の「プログラムの追加と削除」も通常の方法では開けなくなってしまうからだ。

 ただし,我々の受け取った感染ファイルは無傷で,なんら改変はされていなかった。Windowsをセーフモードで立ち上げれば,FakeAlert-COが自動起動することはなく,プロセスを止められたシステム用ツールやアプリケーションは正常に実行できる。

 この脅威は,「McAfee VirusScan」の最新版定義ファイルとエンジンで除去できる。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「FakeAlert Trojan Holds Systems For Ransom」でお読みいただけます。