偽セキュリティ対策ソフトの見破り方　第4回　偽セキュリティ対策ソフトカタログ

2010年6月、IPAは「偽セキュリティ対策ソフト」への注意喚起を促す呼びかけを行いました。本稿は、実態と全体像の把握が困難な偽セキュリティ対策ソフトに詳しい、McAfee Labs Tokyo 本城氏の寄稿により、偽セキュリティ対策ソフトの歴史、犯罪産業としての構造、具体的

特集特集

2010年9月28日（火） 09時00分

2010年6月、IPAは「偽セキュリティ対策ソフト」への注意喚起を促す呼びかけを行いました。本稿は、実態と全体像の把握が困難な偽セキュリティ対策ソフトに詳しい、McAfee Labs Tokyo 本城氏の寄稿により、偽セキュリティ対策ソフトの歴史、犯罪産業としての構造、具体的な偽セキュリティ対策ソフト名称、実践的対策方法について解明します。

─

●入れ替わる「ブランド」

偽セキュリティソフトは様々なブランドが存在しています。ここでは、執筆時においてよく見られる種類をいくつか紹介しましょう。なお、偽セキュリティソフトは入れかわりが激しく、時期によって感染の多い種類が異なります。あくまでも執筆時点(2010年9月)でのカタログであると理解してください。

●SpyProシリーズ

SpyProは非常に亜種が多いブランドの一つです。数か月おきに名称やインターフェースを変更しています。

図12： AntiySpyware Soft

図13：AV Security Suite

図14：Security Suite

Security Suiteの最近の亜種には、アプリケーションの実行を許さないランサムウェアとしての機能があります。なお、購入サイトにアクセスする必要があるためInternet Explorerだけは問題なく実行できます。

図15： notepad.exeを実行すると“感染しているため実行できない”という偽のアラートが表示される

●My Security Shield /MySecurity Engine/Security Master AV/Clean upシリーズ

このブランドも亜種の発生が活発な脅威の一つです。頻繁に名称を変更させるリブランドを実施している傾向がうかがえます。実際、この数カ月に以下のように名称を変化させています。

CleanUp Antivirus
　　　　↓
MS Security Engine
　　　　↓
Security Master AV
　　　　↓
My Security Shield

また、多数のレジストリを追加・変更する特徴があります。特にシステムツールや他のセキュリティ製品の起動を無効にするために、以下の様なレジストリも変更します。

HKEY_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options(実行ファイル名)

●Debugger = "svchost.exe"

この変更により、実行ファイル名で指定されたファイルを起動するとsvchost.exeが起動することになります。例えば、以下のレジストリによって、タスクマネージャー(taskmgr.exe)を実行してもsvchost.exeが実行されることになります。

HKEY_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options askmgr.exe

●Debugger = "svchost.exe"

この偽セキュリティソフトによって無効化されるツール、セキュリティ製品は数百に及びます。また、正規のツールやセキュリティ製品だけでなく、競合する他の偽セキュリティソフトの実行も無効化しています。詐欺の成功のためには、他の詐欺師を排除することも必要なのでしょう。

図16：Cleanup Antivirus

図17：My Security Engine

図18：Security Master AV

図19： My Security Shield

●SecurityTool

このSecurityToolは単独ブランドで亜種が非常に多い偽セキュリティソフトです。現在ところ、リブランド版は確認されていません。上の例も説明しましたが、多言語化されているのが特徴です。

図20： SecurityTool

●Sysinternals Antivirus/Wireshark Antivirus

それほど亜種の数は多くありませんが、最近発見された偽セキュリティソフトのブランドです。実際に存在するTool名を名乗っているのが特徴です。

図21：Sysinternals Antivirus

図22： Sysinternals Antivirus

このSysInternals Antivirus/Wireshark Antivirusにも、アプリケーションの実行を許さないランサムウェアとしての機能があります。SpyProと同様に、購入サイトにアクセスする必要があるためInternet Explorerだけは問題なく実行できます。

図23： notepad.exeを実行すると“感染しているため実行できない”という偽のアラートが表示される

●XP Antivirusシリーズ

このシリーズはWindowsのセキュリティセンターに自身を登録することで知られています。

図24： XP Antivirus Pro 2010

図25：セキュリティセンターに登録されたXP Antivirus Pro 2010

図26：同じ種類のXP Smart Security 2010

【執筆】
マカフィー株式会社
McAfee Labs Tokyo　アンチマルウエアリサーチ　主任研究員
本城信輔

【関連記事】
偽セキュリティ対策ソフトの見破り方　第1回　その動作と特徴
https://www.netsecurity.ne.jp/3_15896.html
偽セキュリティ対策ソフトの見破り方　第2回　ホンモノと偽物を見分けるポイント
https://www.netsecurity.ne.jp/3_15938.html
偽セキュリティ対策ソフトの見破り方　第3回　成功モデルとしての偽セキュリティ対策ソフト
https://www.netsecurity.ne.jp/3_16007.html

《ScanNetSecurity》