あの手この手で仕掛けられる攻撃の中には、ウイルス対策ソフトをかたって不正なプログラムをインストールさせるものがある。ESETは、同社のソフトウエアをかたる偽ソフトが出回っていることから、ブログでその内容や対処方法を解説している(Imitation is not always the sincerest form of flattery)。被害をできる限り避けられるように、最近の偽ソフトがどのように動くのかを知っておくとよいだろう。
同社のセキュリティ製品「ESET Smart Security」をかたる偽ソフトの名前は「Smart Security」。ESETのウイルス対策ソフトでは、Smart Securityとその亜種「MySecurity Engine」「MySecurityShield」などを「Win32/Injector.DDH」として検出する。これらのマルウエアが起動後に表示する画面(下図参照)は、米マイクロソフトの製品とサービスから盗んだものを流用しているという。
動き始めたSmart Securityは、Windows XP内で自分自身のコピーをC:\Documents and Settings\All Users\Application Data\ランダムなフォルダー\攻撃用ファイル名.exeという実行ファイルとして保存し、Windows起動時に必ず実行されるようレジストリを変更する。ホストファイルも改ざんし、いくつかの検索サイトとほかの偽ウイルス対策ソフト関連サイトにアクセスできないようにしてしまう。これは、競合するマルウエアとの接触を回避するためだと考えられる。
Smart Securityは、ウイルス検査機能だけでなくフィッシング対策や自動実行管理、マルウエア駆除といった機能も備えるという。そして、そのほかの機能を利用するためとして、有償のフルバージョンの入手を勧める。
信頼できる本物のウイルス対策ソフトであると思い込ませるため、念の入ったことに、Smart Securityにはチャットによるオンラインサポートサービスまで用意されている。応対するサポート担当者は、専用のマルウエア駆除ソフトまで紹介してくれるのだという。このソフトの正体はMySecurityShield用のダウンローダーで、当社は「Win32/Adware.VirusAlarmPro」として検出する。さらにサポート担当者は、ユーザーのパソコンにインストールされている真っ当なウイルス対策ソフトを削除して偽物に入れ替える操作を、手取り足取り教えてくれる(関連記事:オンライン・サポート・サービス付きの偽ウイルス対策ソフト)。
