偽ウイルス対策ソフトが新たな名前で攻撃再開

2009.11.04

McAfee Avert Labs Blog
「Rebranded Rogue Anti-Virus Strikes Again」より
September 30，2009　Posted by Avelino Rico Jr

　我々は先日，「Alpha Antivirus」と自称する新たな偽ウイルス対策ソフトのサンプルを分析した。このサンプルのファイルは，「alphaav.exe」と「msnaoladdon.dll」という名前だった。

　Alpha Antivirusは，悪質な「Personal Antivirus」系偽ウイルス対策ソフトの流れを汲む「FakeAlert」の新しい亜種だ（関連記事：トロイの木馬「FakeAlert」，身代金目当てでパソコンを人質に）。Alpha Antivirusは，多くのFakeAlert系マルウエアと同様に，攻撃用WebサイトでホスティングしているWebページをポップアップ表示し，自らユーザーに宣伝する。宣伝用WebページはWindowsのエクスプローラやセキュリティ警告ダイアログに似せてあり，感染したシステムに対して無料で偽オンライン・セキュリティ検査を実行する。

偽オンライン・セキュリティ検査の画面

　分かっている範囲では，以下のドメインが偽オンライン・セキュリティ検査用のWebページとAlpha Antivirusの中心的な実行ファイルをホスティングしていた。

・mycompinfo17.com
・internetantivirusproscanner.com
・mycomputeronlinescan11.com
・internetsecurityscan.com
・mycompscanner07.com
・mycompscanner42.com
・internetantivirusproscan.com
・windowsdefenderupdate5.com
・securitybugfixupdate6.com

　そしてこのファイルは，Alpha Antivirusをインストールするよう求めるメッセージを表示する。ユーザーが指示に従うと，Alpha AVでスキャンした振りをして，複数の感染が見つかったという嘘の報告をする。

Alpha Antivirusの実行する偽スキャン

嘘の感染レポート

　さらに，Windowsのタスクバーから誤解させるような内容の警告をポップアップ表示する。

Alpha Antivirusの警告

　今回の亜種は，自分自身のコードを「%ProgramFiles%\AlphaAV\AlphaAV.exe」としてダウンロードし，DLL「msnaoladdon.dll」をWindowsのシステム・フォルダに入れる（「%ProgramFiles%」は，Windowsの「C:\Program Files」といったプログラム格納用フォルダを意味する）。そして，このDLLをブラウザ・ヘルパー・オブジェクト（BHO）の形で「Internet Explorer（IE）」に組み込む。

　当社は，AlphaAV.exeを「FakeAlert-DI」，msnaoladdon.dllを「FakeAlert-EQ」として検出する。

　偽ウイルス対策ソフトは，名前やファイル名，GUIを突然変えることがよくある。新たに登場した偽ウイルス対策ソフトについて，セキュリティ分野の企業と研究者が判明した情報を公表するようになると，マルウエア作者は自分たちの「製品」を新しい名前やファイル名で化粧直ししようとする。さらに，ユーザーに正体を見破られず，セキュリティ・ベンダーから見つからないようにするため，必要なファイルに施す難読化と暗号化を強化する。

　名前やファイル名を変えた偽ウイルス対策ソフトの例を以下に挙げておく。

（1）「pav.exe」と「winexplorer.dll」が，Personal Antivirusとして「personalav.exe」および「msxmlm.dll」になり，その後Alpha Antivirusで「alphaav.exe」と「msnaoladdon.dll」に変化

（2）「frmwrk32.exe」が，「Antivirus XP/Pro」で「winupdate.exe」に変化（関連記事：専用パッカーを使う偽アンチウイルス・ソフト「XP Antivirus」）

（3）「WinPC Defender」の「pcdef.exe」「mousehook.dll」「ntdll64.dll」が，「WinPC Antivirus」で「winav.exe」「ieocx.dll」「iehostcx32.dll」に変化

（4）「Spyware Protect 2009」が「Antivirus System Pro」に変化

　最後に簡単なアドバイスを書いておく。怪しいWebサイトのアクセスは控え，セキュリティ・ベンダーの信頼できる本物のWebサイトから入手したウイルス対策ソフトをインストールし，ウイルス定義ファイルを最新状態に維持しよう。

Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，マカフィーの許可を得て，米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Rebranded Rogue Anti-Virus Strikes Again」でお読みいただけます。