MSアンチウイルス（マルウェア）

MSアンチウイルス
MSアンチウイルス
開発者	Bakasoftware（開発者名：Gavril Danilkin、別名「krab」）、Innovative Marketing（Jain Shaileshkumar、Bjorn Danielなど）
オペレーティング·システム	マイクロソフトウィンドウズ
タイプ	不正ソフトウェア

MS Antivirus（別名Spyware Protect 2009、Antivirus XP 2008/Antivirus2009/SecurityToolなど）は、Microsoft Windows搭載のコンピュータで発見されたウイルス感染を除去すると謳う、スケアウェア型の不正アンチウイルスです。ユーザーを騙してソフトウェアの「フルバージョン」を購入させようとします。Bakasoftwareの背後にいる企業とその関係者は、Innovative Marketing Ukraine、Pandora Software、LocusSoftwareなど、様々な「企業」名で活動していました。 ^[¹^]非常に悪質なコンピュータワーム Confickerの亜種Eは、「Spyware Protect 2009」バージョンのマルウェアを拡散しました。^[²^]

名前

わずかなバリエーションを含む MS アンチウイルスのクローンが Web 上に多数配布されています。これらは、XP Antivirus、^{[ 3 ]} Vitae Antivirus、Windows Antivirus、Win Antivirus、Antivirus Action、Antivirus Pro 2009、2010、2017 または単に Antivirus Pro、Antivirus 2007、2008、2009、2010、2011、および 360、AntiMalware GO、Internet Antivirus Plus、System Antivirus、Spyware Guard 2008 および 2009、Spyware Protect 2009、Winweb Security 2008、Antivirus 10、Total Antivirus 2020、Live Protection Suite、System Security、Malware Defender 2009、Ultimate Antivirus2008、Vista Antivirus、General Antivirus、AntiSpywareMaster、Antispyware 2008、XP AntiSpyware 2008、2009 および 2010、Antivirus Vista として知られています。 2010、Real Antivirus、WinPCDefender、Antivirus XP Pro、Anti-Virus-1、Antivirus Soft、Vista Antispyware 2012、Antispyware Soft、Antivirus System PRO、Antivirus Live、Vista Anti Malware 2010、Internet Security 2010、XP Antivirus Pro、Security Tool、VSCAN7、Total Security、PC Defender Plus、Disk Antivirus Professional、AVASoft Professional Antivirus、System Care Antivirus、System Doctor 2014。別のMSアンチウイルスのクローンはANG Antivirusと呼ばれています。この名前は、ダウンロード前に正規のAVGアンチウイルスだと思わせるために使用されています。 ^{[ 4 ]}

感染の症状

SWP '09 はユーザーを microsoft.com から「保護」します。フォントがInternet Explorer が通常使用するものと異なることに注意してください。

各亜種は、コンピュータへのダウンロードとインストールの方法をそれぞれ独自に持っています。MSアンチウイルスは、コンピュータユーザーを本物のアンチウイルスシステムだと錯覚させ、「購入」させるため、機能的に見えるように作られています。典型的なインストールでは、MSアンチウイルスはコンピュータをスキャンし、コンピュータがスパイウェアに感染しているという偽のスパイウェアレポートを表示します。スキャンが完了すると、「発見された」スパイウェアをリストアップした警告メッセージが表示され、ユーザーはリンクまたはボタンをクリックして削除する必要があります。「次へ」または「キャンセル」のどちらのボタンをクリックしても、ダウンロードボックスがポップアップ表示されます。この欺瞞的な手法は、インターネットユーザーを脅迫し、MSアンチウイルスを購入するためのリンクまたはボタンをクリックさせようとするものです。ユーザーがプログラムを購入しないことを選択した場合、プログラムが感染を発見したため、修復するには登録が必要であるというポップアップが繰り返し表示されます。このような動作により、コンピュータの動作が通常よりも遅くなる可能性があります。

MSアンチウイルスは、感染したコンピュータに偽のポップアップアラートを表示することもあります。これらのアラートは、コンピュータへの攻撃が検出されたことを装い、攻撃を阻止するためにソフトウェアのアクティベーションまたは購入を促します。さらに深刻なケースでは、偽のブルースクリーン画像を画面上に貼り付け、その後、偽の起動画像を表示してソフトウェアの購入を促します。このマルウェアは、ユーザーが変更または削除できる特定のWindowsプログラムをブロックすることもあります。Regeditなどのプログラムは、このマルウェアによってブロックされる可能性があります。レジストリも変更され、システム起動時にソフトウェアが実行されるようになります。感染したコンピュータには、以下のファイルがダウンロードされる可能性があります。^{[ 5 ]}

MSASetup.exe
MSA.exe
MSA.cpl
MSx.exe

亜種によってファイル名が異なるため、表示やラベルが異なる場合があります。例えば、Antivirus 2009 の.exe ファイル名は a2009.exe です。

さらに、ソフトウェアが正当なものであるように見せかけるため、MSアンチウイルスはコンピュータに存在すると主張する「ウイルス」の症状をコンピュータに表示することがあります。^{[ 6 ]}たとえば、デスクトップ上のショートカットの一部が性的に露骨なウェブサイトへのリンクに変更される場合があります。

悪意のある行為

このマルウェアの亜種の大半は、明らかに有害ではありません。通常、スパイウェアのようにユーザーの情報を盗んだり、システムに重大な損害を与えたりすることはありません。ただし、存在しないウイルスを削除するにはソフトウェアの登録料を支払うようにユーザーに促すポップアップを頻繁に表示して、ユーザーに不便をかけます。一部の亜種はさらに有害で、特にコンピューターの再起動後に、ユーザーがアプリケーションを起動しようとしたときやハードドライブをナビゲートしようとしたときは常にポップアップが表示されます。これは、Windows レジストリを変更することによって行われます。これにより、画面が繰り返しポップアップでいっぱいになり、コンピューターが事実上使用できなくなる可能性があります。また、削除から自身を保護するために、実際のウイルス対策プログラムを無効にしたりすることもあります。どの亜種がコンピューターに感染しても、MS アンチウイルスは実行時に常にシステムリソースを使用するため、感染したコンピューターの動作が以前よりも遅くなる可能性があります。

このマルウェアは、既知のスパイウェア除去サイトへのアクセスをブロックする機能も備えています。また、検索エンジンで「アンチウイルス 2009」（または類似の検索語）を検索すると、空白ページまたはエラーページが表示される場合もあります。一部の亜種では、ユーザーを実際のGoogle検索ページから、ウイルスに感染しているためアンチウイルス 2009 を入手するよう促す、ウイルスのページへのリンクを含む偽のGoogle検索ページにリダイレクトするものもあります。まれに、最新バージョンのマルウェアでは、ユーザーがシステムの復元を実行できないようにする場合もあります。

収益

2008年11月、NeoNと呼ばれるハッカーがBakasoftwareのデータベースをハッキングし、同社がXP Antivirusから受け取った収益を公開したと報じられました。データによると、最も成功したアフィリエイトは1週間で15万8000ドルを稼いだとのことです。^{[ 7 ]}^{[ 8 ]}

裁判手続き

2008年12月2日、メリーランド州連邦地方裁判所は、連邦取引委員会（FTC）の要請を受け、Innovative Marketing, Inc.とByteHosting Internet Services, LLCに対し、一時的な差し止め命令を発令しました。FTCによると、WinFixer、WinAntivirus、DriveCleaner、ErrorSafe、XP Antivirusを組み合わせたマルウェアが、100万人以上の人々を騙してセキュリティ製品として販売されているソフトウェアを購入させたとのことです。裁判所はまた、被害者への金銭的補償を目的として、両社の資産を凍結しました。FTCは、両社がインターネット広告ネットワークや人気ウェブサイトを欺き、自社の広告を掲載させるという巧妙な策略を企てたと主張しています。

FTCの訴状によると、この事件で起訴された企業は、様々な偽名を用いて事業を展開し、ベリーズとウクライナ（キエフ）にオフィスを構えていた。ByteHosting Internet Servicesはオハイオ州シンシナティに拠点を置いている。訴状には、ダニエル・サンディン、サム・ジェイン、マーク・デソウザ、クリスティ・ロス、ジェームズ・リノに加え、救済被告として指名されているモーリス・デソウザも被告として挙げられており、このスキームから収益を得ていたとされている。^{[ 9 ]}

参照

参考文献

^ 「MSアンチウイルスを削除する方法」BleepingComputer .
^ 「Viruslist.com - アナリストの日記」www.viruslist.com。 2010年2月5日時点のオリジナルよりアーカイブ。2025年6月7日閲覧。
^ Seltzer, Larry. 「MS Antivirus 2008 は XP Antivirus 2008 から変化した」 PC Magazine . 2008年9月12日時点のオリジナルよりアーカイブ。 2008年9月23日閲覧。
^ ANG AntiVirus 09 Remover at Spyware Removal Tools Archived 2012-02-22 at the Wayback Machine 2010年10月24日アクセス
^ 「MS Antivirus」 . ca.com . 2009年1月13日時点のオリジナルよりアーカイブ。
^ Vincentas (2013年7月16日). 「SpyWareLoop.comのMSアンチウイルス」 . Spyware Loop . 2013年7月28日閲覧。
^スチュワート、ジョー. 「不正アンチウイルスの分析 - パート2」 . SecureWorks . 2016年2月24日閲覧。
^ 「Bakasoftware ロシアのスケアウェア、ハッカーに名指しされ非難される」 ITセキュリティニュースSecPoint 2008年10月31日。2010年1月10日時点のオリジナルよりアーカイブ。 2010年3月8日閲覧。
^ 「裁判所、偽造コンピュータースキャンを停止」連邦取引委員会、2008年12月10日。 2009年1月19日閲覧。

外部リンク

XP Antivirus 2009 の説明と削除手順は、 2009年5月10日に About.comのWayback Machineにアーカイブされています。

[1] 「MSアンチウイルスを削除する方法」BleepingComputer .

[2] 「Viruslist.com - アナリストの日記」www.viruslist.com。 2010年2月5日時点のオリジナルよりアーカイブ。2025年6月7日閲覧。

[3] Seltzer, Larry. 「MS Antivirus 2008 は XP Antivirus 2008 から変化した」 PC Magazine . 2008年9月12日時点のオリジナルよりアーカイブ。 2008年9月23日閲覧。

[4] ANG AntiVirus 09 Remover at Spyware Removal Tools Archived 2012-02-22 at the Wayback Machine 2010年10月24日アクセス

[5] 「MS Antivirus」 . ca.com . 2009年1月13日時点のオリジナルよりアーカイブ。

[AAA-6] Vincentas (2013年7月16日). 「SpyWareLoop.comのMSアンチウイルス」 . Spyware Loop . 2013年7月28日閲覧。

[7] スチュワート、ジョー. 「不正アンチウイルスの分析 - パート2」 . SecureWorks . 2016年2月24日閲覧。

[secpoint31102008-8] 「Bakasoftware ロシアのスケアウェア、ハッカーに名指しされ非難される」 ITセキュリティニュースSecPoint 2008年10月31日。2010年1月10日時点のオリジナルよりアーカイブ。 2010年3月8日閲覧。

[ftcfile-9] 「裁判所、偽造コンピュータースキャンを停止」連邦取引委員会、2008年12月10日。 2009年1月19日閲覧。

[

[

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]