─
●入れ替わる「ブランド」
偽セキュリティソフトは様々なブランドが存在しています。ここでは、執筆時においてよく見られる種類をいくつか紹介しましょう。なお、偽セキュリティソフトは入れかわりが激しく、時期によって感染の多い種類が異なります。あくまでも執筆時点(2010年9月)でのカタログであると理解してください。
●SpyProシリーズ
SpyProは非常に亜種が多いブランドの一つです。数か月おきに名称やインターフェースを変更しています。
Security Suiteの最近の亜種には、アプリケーションの実行を許さないランサムウェアとしての機能があります。なお、購入サイトにアクセスする必要があるためInternet Explorerだけは問題なく実行できます。
●My Security Shield /MySecurity Engine/Security Master AV/Clean upシリーズ
このブランドも亜種の発生が活発な脅威の一つです。頻繁に名称を変更させるリブランドを実施している傾向がうかがえます。実際、この数カ月に以下のように名称を変化させています。
CleanUp Antivirus
↓
MS Security Engine
↓
Security Master AV
↓
My Security Shield
また、多数のレジストリを追加・変更する特徴があります。特にシステムツールや他のセキュリティ製品の起動を無効にするために、以下の様なレジストリも変更します。
HKEY_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options(実行ファイル名)
●Debugger = "svchost.exe"
この変更により、実行ファイル名で指定されたファイルを起動するとsvchost.exeが起動することになります。例えば、以下のレジストリによって、タスクマネージャー(taskmgr.exe)を実行してもsvchost.exeが実行されることになります。
HKEY_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options askmgr.exe
●Debugger = "svchost.exe"
この偽セキュリティソフトによって無効化されるツール、セキュリティ製品は数百に及びます。また、正規のツールやセキュリティ製品だけでなく、競合する他の偽セキュリティソフトの実行も無効化しています。詐欺の成功のためには、他の詐欺師を排除することも必要なのでしょう。
●SecurityTool
このSecurityToolは単独ブランドで亜種が非常に多い偽セキュリティソフトです。現在ところ、リブランド版は確認されていません。上の例も説明しましたが、多言語化されているのが特徴です。
●Sysinternals Antivirus/Wireshark Antivirus
それほど亜種の数は多くありませんが、最近発見された偽セキュリティソフトのブランドです。実際に存在するTool名を名乗っているのが特徴です。
このSysInternals Antivirus/Wireshark Antivirusにも、アプリケーションの実行を許さないランサムウェアとしての機能があります。SpyProと同様に、購入サイトにアクセスする必要があるためInternet Explorerだけは問題なく実行できます。
●XP Antivirusシリーズ
このシリーズはWindowsのセキュリティセンターに自身を登録することで知られています。
【執筆】
マカフィー株式会社
McAfee Labs Tokyo アンチマルウエア リサーチ 主任研究員
本城 信輔
【関連記事】
偽セキュリティ対策ソフトの見破り方 第1回 その動作と特徴
https://www.netsecurity.ne.jp/3_15896.html
偽セキュリティ対策ソフトの見破り方 第2回 ホンモノと偽物を見分けるポイント
https://www.netsecurity.ne.jp/3_15938.html
偽セキュリティ対策ソフトの見破り方 第3回 成功モデルとしての偽セキュリティ対策ソフト
https://www.netsecurity.ne.jp/3_16007.html