2013年05月10日
偽セキュリティソフトにご用心
先日、ある客先から電話が入ってきました。
「ウィルスに感染したらしいので見てほしい」とのこと。
客先に行って件のPCを調べてみると、『System Care AntiVirus』というソフトが立ち上がっており、このPCはウィルスチェックの結果たくさんのウィルスに感染していますがこのバージョンでは駆除ができないのでお金を払ってバージョンアップして下さい、という旨の表示がされており、その他の操作を何も受け付けない状態になっていました。
「システムケアアンチウィルス??」
聞いた事のない名前だな―、と思いつつ「このアンチウィルスソフトはいつインストールされたんですか?」と聞いてみると、インストールした覚えはないとの事。
ウィルスに感染しているのなら、オンラインでチェックできるサイトでもう少し詳しく見てみようと思ってブラウザ(インターネットエクスプローラ)を起動しようとすると起動しない。
タスクマネージャやコマンドプロンプトすら起動しないのを確認した後、やっと
「このアンチウィルスソフト、何か変だな。」
と気づきました。
別の正常なPCで検索してみると、このSystem Care Antivirusというのは偽のアンチウィルスソフトで、ウィルスに感染したようにみせかけて、クレジットカードでお金を振り込みさせるのが目的のソフトみたいです。
PCの起動と同時に他の一切の操作をできなくしてしまうため、通常の手段ではアンインストールすらできません。
これを削除するには、セーフモードに一旦入って偽ソフトのフォルダを削除した後にレジストリを修正する必要があり、具体的な手順はこのサイトに詳しく出ています。
これに感染する原因ですが、
感染した外部のウェブサイトへアクセスをする事により、JavaかAcrobatReaderの脆弱性をついてPC内部にSystem-Care Antivirusがインストールされるようです。
また、このソフトは他の正常なアンチウィルスソフトのチェックをかいくぐるために頻繁に更新されており、ウィルスチェックには引っかからない事が多いみたいです。
ウィルスチェッカのパターンファイルが更新されるには、アンチウィルスソフトの開発元がウィルスのサンプルを入手し、ウィルス内部の特定バイナリデータを識別するパターンデータを作る必要があるわけですが、当然これにはウィルス発生から少しのタイムラグが生じるわけで、これを利用してチェックをかいくぐっているワケですね。
ウチのPCはWindowsUpdateとウィルスソフトのパターンファイル更新をしているから大丈夫、なーんて思っていたら、この偽ソフトに感染するかもしれません。
JavaとAcrobatReaderはセキュリティホールの二大原因となっているので、常に最新版にアップデートをする必要があります。
JavaやReaderが不要なPCならアンインストールし、どうしても必要なPCであれば常に最新版にアップデートしておく、という対処が必要になってきます。
この二つのソフトウェアの更新をサボっていると、WindowsUpdateをしていないPCより遙かに危険です。
・・・というような話を客先でコンコンと犬に言い聞かせるようにして帰ってきました。
ま、ホントは業務用PCで外部サイトを見に行くなって言いたいんですけどね・・・
ある日突然このアイコンが出てきたら
この記事を思い出して下さい。
「ウィルスに感染したらしいので見てほしい」とのこと。
客先に行って件のPCを調べてみると、『System Care AntiVirus』というソフトが立ち上がっており、このPCはウィルスチェックの結果たくさんのウィルスに感染していますがこのバージョンでは駆除ができないのでお金を払ってバージョンアップして下さい、という旨の表示がされており、その他の操作を何も受け付けない状態になっていました。
「システムケアアンチウィルス??」
聞いた事のない名前だな―、と思いつつ「このアンチウィルスソフトはいつインストールされたんですか?」と聞いてみると、インストールした覚えはないとの事。
ウィルスに感染しているのなら、オンラインでチェックできるサイトでもう少し詳しく見てみようと思ってブラウザ(インターネットエクスプローラ)を起動しようとすると起動しない。
タスクマネージャやコマンドプロンプトすら起動しないのを確認した後、やっと
「このアンチウィルスソフト、何か変だな。」
と気づきました。
別の正常なPCで検索してみると、このSystem Care Antivirusというのは偽のアンチウィルスソフトで、ウィルスに感染したようにみせかけて、クレジットカードでお金を振り込みさせるのが目的のソフトみたいです。
PCの起動と同時に他の一切の操作をできなくしてしまうため、通常の手段ではアンインストールすらできません。
これを削除するには、セーフモードに一旦入って偽ソフトのフォルダを削除した後にレジストリを修正する必要があり、具体的な手順はこのサイトに詳しく出ています。
これに感染する原因ですが、
感染した外部のウェブサイトへアクセスをする事により、JavaかAcrobatReaderの脆弱性をついてPC内部にSystem-Care Antivirusがインストールされるようです。
また、このソフトは他の正常なアンチウィルスソフトのチェックをかいくぐるために頻繁に更新されており、ウィルスチェックには引っかからない事が多いみたいです。
ウィルスチェッカのパターンファイルが更新されるには、アンチウィルスソフトの開発元がウィルスのサンプルを入手し、ウィルス内部の特定バイナリデータを識別するパターンデータを作る必要があるわけですが、当然これにはウィルス発生から少しのタイムラグが生じるわけで、これを利用してチェックをかいくぐっているワケですね。
ウチのPCはWindowsUpdateとウィルスソフトのパターンファイル更新をしているから大丈夫、なーんて思っていたら、この偽ソフトに感染するかもしれません。
JavaとAcrobatReaderはセキュリティホールの二大原因となっているので、常に最新版にアップデートをする必要があります。
JavaやReaderが不要なPCならアンインストールし、どうしても必要なPCであれば常に最新版にアップデートしておく、という対処が必要になってきます。
この二つのソフトウェアの更新をサボっていると、WindowsUpdateをしていないPCより遙かに危険です。
・・・というような話を客先でコンコンと犬に言い聞かせるようにして帰ってきました。
ま、ホントは業務用PCで外部サイトを見に行くなって言いたいんですけどね・・・
ある日突然このアイコンが出てきたら
この記事を思い出して下さい。
Posted by ROY at 16:35│Comments(11)
│日常
この記事へのコメント
こんにちわ
こんな凄いウイルスがあるんですね!
いつも更新の準備が出来ましたって出たらクリックしていましたが
今後、気をつけてクリックするようにしますよー
こんな凄いウイルスがあるんですね!
いつも更新の準備が出来ましたって出たらクリックしていましたが
今後、気をつけてクリックするようにしますよー
Posted by Z at 2013年05月10日 18:17
こんばんわ
凄いというより、これ作った奴はちょっと抜けてますよね。
口座に振込みさせてもどうやってお金を引き出すんでしょう?
引き出そうとした段階で警察に補足されるのはまず間違いないでしょうに(笑)
ま、変な奴だからこんなマヌケソフトを作るんでしょうが、
いずれにしても迷惑な話です。
凄いというより、これ作った奴はちょっと抜けてますよね。
口座に振込みさせてもどうやってお金を引き出すんでしょう?
引き出そうとした段階で警察に補足されるのはまず間違いないでしょうに(笑)
ま、変な奴だからこんなマヌケソフトを作るんでしょうが、
いずれにしても迷惑な話です。
Posted by ROY at 2013年05月10日 21:30
パソコン音痴なので、めんどくさいのはワカラナイノデ
すぐ、バッテン押します。
だから、その手は遠慮しときます!
すぐ、バッテン押します。
だから、その手は遠慮しときます!
Posted by 八ちゃん at 2013年05月10日 21:59
八ちゃん
まぁ清廉潔白なホームページだけ見てればそこそこ大丈夫かと思われます(笑)
Javaはコントロールパネルから、AcrobatReaderはWindowsボタン→プログラムからアップデートできますので面倒臭がらずに試してみてくださいね。
まぁ清廉潔白なホームページだけ見てればそこそこ大丈夫かと思われます(笑)
Javaはコントロールパネルから、AcrobatReaderはWindowsボタン→プログラムからアップデートできますので面倒臭がらずに試してみてくださいね。
Posted by ROY at 2013年05月11日 00:06
なんですかそれ!!怖いです!(@_@;)
そのアイコンを目に焼き付けておきます!!
貴重な情報ありがとうございます。
くわばらくわばら~
そのアイコンを目に焼き付けておきます!!
貴重な情報ありがとうございます。
くわばらくわばら~
Posted by あおりちゃん at 2013年05月11日 09:35
あおりちゃん
訪問&コメントありがとうございます~
振り込み詐欺なんかと同じで、こういうのがあると覚えておくだけで人為的セキュリティは向上するので覚えといて下さいね。
最初見た時は一瞬ホンマモンのアンチウィルスソフトかと思いました(笑)
訪問&コメントありがとうございます~
振り込み詐欺なんかと同じで、こういうのがあると覚えておくだけで人為的セキュリティは向上するので覚えといて下さいね。
最初見た時は一瞬ホンマモンのアンチウィルスソフトかと思いました(笑)
Posted by ROY at 2013年05月11日 12:35
う~ん。
出てきた時にメールします。(笑)
出てきた時にメールします。(笑)
Posted by 酒ちゃん at 2013年05月12日 20:14
酒ちゃん
了解です。
特別にサポート料は無料にします(笑)
了解です。
特別にサポート料は無料にします(笑)
Posted by ROY at 2013年05月12日 21:42
ROY さま
はじめまして、早朝このウイルスに感染してしまいました!
あまりPCに詳しくないのですが、ググッて何とか削除して
4時間後に復旧させました。
ちゃんと除去できてるか心配で
PCのサポートセンターに問い合わせてもリカバリーか
有償でお預かり修理しかないって言われました。
PCないと困るのですが、まだリカバリーはしてません。
バックアップとらないと・・・。
アップデートもこまめにしていたのに・・・。
完全除去出来てるか確認する方法って何かないでしょうか?
アドバイス頂けたら嬉しいです。
コーギーちゃんがかわいくて、お邪魔してしまいました。
はじめまして、早朝このウイルスに感染してしまいました!
あまりPCに詳しくないのですが、ググッて何とか削除して
4時間後に復旧させました。
ちゃんと除去できてるか心配で
PCのサポートセンターに問い合わせてもリカバリーか
有償でお預かり修理しかないって言われました。
PCないと困るのですが、まだリカバリーはしてません。
バックアップとらないと・・・。
アップデートもこまめにしていたのに・・・。
完全除去出来てるか確認する方法って何かないでしょうか?
アドバイス頂けたら嬉しいです。
コーギーちゃんがかわいくて、お邪魔してしまいました。
Posted by Anri at 2013年08月14日 11:49
Anriさん、はじめまして。
アクセス&コメント有難うございます。
ご質問の件ですが、隠しフォルダを見つけて削除し、レジストリも該当部分を削除したということですよね?
今回はその前提で回答させて頂きます。
結論から言いますと、今回の場合はそれでOKと思っていただいていいと思います。
PCサポートセンターに聞いた際に預かり修理またはリカバリ云々の話になったのは、サポートセンターがそう言わざるを得ない立場だからだと思いますよ。
というのは、削除しただけで大丈夫だと言って後に何か別の要因で障害があった場合、その障害がシステムケアアンチウィルスとは無関係だということを証明する事ができませんし、サポートセンターの人間も結局は一般人よりすこしだけ詳しい人がマニュアルに従って応対しているだけですので、この偽セキュリティソフトがどういう構成になっていてどういう動きをするか完全に把握はしてないと思います。
また、サポートセンターには多種多様な人が電話を掛けてきますから、実際にはどんな操作をしたのか言葉だけでは判断できないと思っています。
だから、操作後の状態が完全に把握できるリカバリ作業や、引取り修理でPCを送ってもらって手元に現物が来てから(お金を取って)調べてみようとするんですよね。
サポートセンターの立場としては、商売(有料引取り修理)のため、責任逃れ(リカバリなら完全に元に戻る事が断言できる)のため、そういう言い方をせざるを得ないんです。
Anriさんの今回の件に関しては(おそらく)大丈夫です。
アクセス&コメント有難うございます。
ご質問の件ですが、隠しフォルダを見つけて削除し、レジストリも該当部分を削除したということですよね?
今回はその前提で回答させて頂きます。
結論から言いますと、今回の場合はそれでOKと思っていただいていいと思います。
PCサポートセンターに聞いた際に預かり修理またはリカバリ云々の話になったのは、サポートセンターがそう言わざるを得ない立場だからだと思いますよ。
というのは、削除しただけで大丈夫だと言って後に何か別の要因で障害があった場合、その障害がシステムケアアンチウィルスとは無関係だということを証明する事ができませんし、サポートセンターの人間も結局は一般人よりすこしだけ詳しい人がマニュアルに従って応対しているだけですので、この偽セキュリティソフトがどういう構成になっていてどういう動きをするか完全に把握はしてないと思います。
また、サポートセンターには多種多様な人が電話を掛けてきますから、実際にはどんな操作をしたのか言葉だけでは判断できないと思っています。
だから、操作後の状態が完全に把握できるリカバリ作業や、引取り修理でPCを送ってもらって手元に現物が来てから(お金を取って)調べてみようとするんですよね。
サポートセンターの立場としては、商売(有料引取り修理)のため、責任逃れ(リカバリなら完全に元に戻る事が断言できる)のため、そういう言い方をせざるを得ないんです。
Anriさんの今回の件に関しては(おそらく)大丈夫です。
Posted by ROY at 2013年08月14日 23:57
ROY さま
コメありがとうございます。
PCが5年物なので動きが遅く、
丁度よいと思ってリカバリーしちゃいました!
おかげで2日設定に手間取り引きこもりです・・・。
サポートセンターの実状ですね・・・。
VBやプロバイタなど問い合わせをしましたが、
ROYさまのおっしゃるとおりです。
PC詳しくないのでIEが使いにくくなってたり大変です。
でも、ここまでやったんだから最後までがんばろうと思います。
コメうれしかったです、ありがとうございました!
コメありがとうございます。
PCが5年物なので動きが遅く、
丁度よいと思ってリカバリーしちゃいました!
おかげで2日設定に手間取り引きこもりです・・・。
サポートセンターの実状ですね・・・。
VBやプロバイタなど問い合わせをしましたが、
ROYさまのおっしゃるとおりです。
PC詳しくないのでIEが使いにくくなってたり大変です。
でも、ここまでやったんだから最後までがんばろうと思います。
コメうれしかったです、ありがとうございました!
Posted by Anri at 2013年08月15日 23:39