トレンドマイクロは2008年1月15日、同社のセキュリティ対策ソフト「ルートキットバスター」に見せかけた悪質プログラム(ウイルス)が確認されたとして注意を呼びかけた。インストールされるとメールアドレスなどの登録を促し、入力されたアドレスを特定サイトへ送信して盗む。
ルートキットバスターとは、同社が無償提供するセキュリティ対策ソフト。「ルートキット」を検出・削除する機能を備える。ルートキットは、特定のプログラム(ウイルスなど)を、OSやウイルス対策ソフトなどから見えないようにするプログラムのことである。ルートキットやその技術を使用するウイルスが増えていることを受けて、トレンドマイクロは2007年1月に同ソフトの提供を開始した。同社のWebサイトなどからダウンロードできる。
今回報告されたのは、このソフトの偽物。同社が「TROJ_FAKEBUSTR.A」と命名した偽物は、フリーソフトのダウンロードサイトの登録ユーザーへ送信される通知メールを使って配布された。同メールには、偽ルートキットバスターのダウンロードURLが記載されていたという。
ダウンロードした偽ソフト(Spy-Buster.exe)を実行すると、本物のルートキットバスターとそっくりな画面が表示される(図1)。そして、最新版のリリース情報を通知するためとして、ユーザー名とメールアドレスの登録を促す(図2)。ここで情報を入力して「Click Here to Register」ボタンを押すと、攻撃者のサイトにアドレスなどが送信される。
トレンドマイクロに問い合わせたところ、今回の偽ソフトが行うのはこれだけ。現時点では、アドレスを盗む以外の挙動は確認されていないという。
今回のようなウイルスにだまされないためのポイントとして同社では、「ルートキットバスターなどのツールは、同社サイトから入手する」「インストールする前に、ハッシュ値を確認する」ことなどを挙げている。