昨今、偽セキュリティソフトがインストールされてしまったとのお問い合わせが日本でも多く確認されています。本日だけでも個人、法人を合わせ、10件以上の感染被害報告がありました。
既に先日より紹介しておりますが、「アンジェリーナ・ジョリー」、「CNNニュース」、「Internet Explorerのアップデート」、「MSNBCのニュース」と、偽セキュリティソフトへ誘導するスパムメールが次々と登場しているため、被害も広まっているものと考えられます。
偽セキュリティソフト自体も検出を免れるためにバリエーションが登場しています。先週に紹介したものは「Antivirus XP 2008」という名称でしたが、現在は「Antivirus 2009」というバージョンが多く確認されています。この偽セキュリティソフトによるユーザの被害は、セキュリティソフト購入の名目で金銭を巻き上げられること、購入に使用したクレジットカードなどの情報が漏洩してしまうこと、の2つです。一般にワンクリックウェア、ランサムウェアと呼ばれる金銭要求マルウェアと考えていいでしょう。
これらのスパムメールはどのケースでも同様です。
- ユーザがスパムメール内のURLをクリック
- URLから不正プログラムがダウンロード
- ダウンロードされた不正プログラムが別の外部サイトへ接続
- 偽セキュリティソフトがダウンロードされインストール
という典型的な「Webからの脅威」パターンです。実ケースでは上記3の段階で複数の不正プログラムやダウンロードサイトが間に入り複雑になります。以下に実際に確認された活動内容から侵入までの手順の一例を図示しました:
 |
|
|
上記の侵入に関わるプログラムは「TROJ_FAKEAV.DI」、「TROJ_FAKEAV.CX」として検出に対応しています。
今後も同様にメール内のURL経由で不正プログラムを侵入させる目的のスパムメールが増え続けるでしょう。スパムメールは既に「単に迷惑な広告メール」ではありません。不正プログラムの脅威と連続する具体的な脅威です。不要なメールには触らないことを心がけましょう。
以下に「Antivirus 2009」の画面例をまとめました。この「Antivirus 2009」は「TROJ_FAKEAV.CX」として検出に対応しています。「Antivirus XP 2008」同様に壁紙とスクリーンセーバーの変更などの悪質なシステム変更も行います。
 |
|
|
 |
|
|
 |
|
|
 |
|
|
■関連情報
* 参考情報1. ウイルス別対策方法「偽セキュリティソフト「Antivirus XP 2008/2009」への対策」
* 参考情報2. ウイルス情報「TROJ_FAKEALERファミリ」
* 参考情報3. ウイルス情報「TROJ_FAKEAVファミリ」
* 参考情報4. Trend Micro Security Blog「相次ぐニュースねつ造スパムメール、今度はMSNBCを詐称」
* 参考情報5. Trend Micro Security Blog「Internet Explorer 7.0のアップデートを偽ったスパムメール」
* 参考情報6. Trend Micro Security Blog「マルウェアスパム侵入後:アンジェリーナ・ジョリーを開いたつもりが偽セキュリティソフト」