偽の対策ソフト「ZeroVirus」

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080129nt09.htm
セキュリティー サイバー護身術

偽の対策ソフト「ZeroVirus」とは？

　偽のセキュリティー対策ソフトが問題となっている。「完ぺきなウイルス検索ツール」などという宣伝文句で配布しながら、実際にはまったくの偽物。対策ソフトと称しながら、ソフト自体がスパイウエアとして動いている悪質なものだ。（テクニカルライター・三上洋）

まぎらわしい名称で日本語版を配布

　ウェブルート・ソフトウェア社による2007年12月のアドウエア（広告などを強制表示する悪意のあるプログラムのこと）ランキングに、怪しい偽ソフトがランクインしている。それは「ZeroVirus（ゼロウイルス）」という名前のアドウエアで、日本で市販されている有名セキュリティ対策ーソフトに似た名前を付けている。

偽セキュリティー対策ソフト「ZeroVirus」の日本語配布サイト。ウイルス、スパイウエアの除去ソフトのように見せかけているが、実態は悪意のあるソフトウエアだ（ウェブルート社提供）

　この「ZeroVirus」は昨年の秋まで、日本語の公式配布サイトを置いていた。これがその画像で、「ウイルス駆除」「スパイウェアーの除去」「最適化されたアルゴリズムと膨大なデータベースを効率的に運用、素早い検索・除去をいたします」などと宣伝コピーが並んでいた。セキュリティー企業のサイトによく似たデザインで、パッケージの写真も本格的なものだ。一見すると本物のセキュリティー対策ソフトなのかと信じてしまいそうになる。

偽セキュリティー対策ソフト「ZeroVirus」のサイトデザイン。本物のソフトに見せかけるため、本格的なパッケージ画像の載せている（ウェブルート社提供）

　しかし「ZeroVirus」は本物の対策ソフトではない。「ウイルス駆除」などは見せかけで、中身はスパイウエアそのものだ。ウェブルート社の検索ツールでもアドウエア、スパイウエアとして検知しているし、他社の対策ソフトでもスパイウエアやトロイの木馬として検知される。筆者は実際の動作を確認できていないが、広告の強制表示、アフィリエイト広告の強制クリックなどを行う悪意のあるプログラムだと思われる。この手の日本語偽セキュリティーソフトは、昨年前半にいくつか登場しており、以前の記事偽セキュリティーソフトにご用心でも取り上げた。
いまだに広告リンクが残っている

現在の「ZeroVirus」のドメインには、広告が表示されている。ドメインパーキングと呼ばれるもので、未使用ドメインに広告を置いて収入を得る仕組みだ（ウェブルート社提供）

　「ZeroVirus」の日本語公式配布サイトは昨年末には消えており、現在はこのような画面が表示されている。この画面は情報サイトのようだが、実態は空きドメインを広告の置き場所として使うサイトだ。ドメインパーキングと呼ばれるもので、使っていないドメインに広告を表示することで、いくらかの収入を得ようとするもの。

　「ZeroVirus」のドメインは、日本のレンタルサーバー会社で取得されており、アメリカのドメインパーキング会社を利用して広告を表示している。いまだにどこかの企業もしくは個人が、広告収入を得ているのかもしれない。

日本のリンク集に残っている「ZeroVirus」へのリンク。複数のサイトに偽セキュリティー対策ソフト配布サイトへのリンクが残っている

　問題はこの偽ソフト「ZeroVirus」へのリンクが、日本語のリンク集に多数残っていることだ。どうも日本人もしくは日本語に詳しい人物が、「ZeroVirus」へのアクセス数アップのためにリンク集への掲載依頼をしていたようだ。画像のように偽ソフト「ZeroVirus」へのリンクが、多数のリンク集に掲載されている。配布サイトはクローズしているから被害は発生しないだろうが、一部の人はリンクを見て「こんなソフトがあるのか」と思い込んでしまうかもしれない。

韓国の偽セキュリティー企業の可能性も

　この偽ソフト「ZeroVirus」は、韓国の偽セキュリティー企業が作っていた可能性がある。韓国の連合ニュースによれば、2007年10月に偽セキュリティー対策ソフトを配布していた業者4社が摘発されている（詳しくはインプレスの記事海の向こうの“セキュリティ” 第14回：韓国で「偽ウイルス検知ソフト」企業を複数摘発を参照）。それによると韓国で126万人以上が被害にあっており、92億ウォン（12億円相当）を稼いでいたとのこと。

　この時に摘発された偽ソフトと、今回の「ZeroVirus」では説明文がよく似ているほか、スパイウエアを「スパイウェアー（語尾を延ばしている）」と書くなど日本語の表記がおかしい点、ソフトのデザインが似ているなどの類似点がある。また摘発のタイミングと、配布サイトが消えたタイミングが近いのも状況証拠の一つだ。筆者の推定ではあるが、「ZeroVirus」は韓国の偽企業が日本語版を作っていたのではないだろうか。

　スパイウエア対策ソフト、ウイルス対策ソフトでは、このような偽ソフトがいくつか配布されている。多くの場合、サイトを表示しただけで「ウイルスに感染しています、すぐにこのソフトを導入して駆除してください」などという脅しの画面が開く。脅しに騙されず、本物の対策ソフトなのか、信頼できるメーカーなのかを確かめることが大切だ。
（2008年1月29日 読売新聞）


http://itpro.nikkeibp.co.jp/article/NEWS/20080129/292361/
内容充実の「スパイウエア対策サイト」、実はウイルス配布サイト

スパイウエア駆除ツール提供サイトに見せかけたウイルス配布サイト（米トレンドマイクロの情報から引用）

　米トレンドマイクロは2008年1月28日（米国時間）、ウイルス（悪質なプログラム）をスパイウエア駆除ツールに見せかけてインストールさせようとする悪質サイトを警告した。サイトのデザインやコンテンツを充実させることで、本物のツール提供サイトに見せかけていることが特徴。

　報告された悪質サイトには、スパイウエア駆除ツール（スパイウエア対策ソフト）などに関するブログやニュース、製品情報などが掲載されている。ツールのレビュー記事なども満載。ページは定期的に更新されていて、一見、正当なWebサイトに思える（図）。

　しかし実際には、このサイトは、ウイルスの配布を目的とした悪質サイトであるという。ページ中のリンクをクリックすると、ウイルスがダウンロードされそうになる。

　同サイトのページには、悪質なコード（iframeタグ）も仕込まれているという。このため、脆弱性のあるパソコンでアクセスすると、ウイルスなどを勝手にインストールされる恐れがある。ウイルスに感染すると、ほかのウイルスを次々とインストールされるなどして、結果的にパソコンを乗っ取られる危険性がある。

　ウイルス配布サイトを正当なサイトに見せかけるのは、攻撃者の常とう手段。過去にも、セキュリティ対策ソフトを提供するサイトや、コーデックのダウンロードサイトに見せかける手口などが確認されている。

　そういった悪質サイトは見栄えなどがしっかりとしているので、見た目から悪質かどうかを判断することは難しいという。悪質サイトの被害に遭わないためには、URLフィルタリング機能を持ったセキュリティ対策ソフトなどが有用であるとしている。


http://internet.watch.impress.co.jp/cda/news/2008/01/11/18097.html
ビデオコーデックを装うトロイの木馬が広まる、ウェブルート12月度調査

　ウェブルート・ソフトウェアは11日、2008年12月の「国内スパイウェアランキングトップ10」を発表した。ランキングは、ウェブルートが無償提供しているオンラインスパイウェア検索ツール「Spy Audit」で収集したデータを基にしている。

　アドウェアのランキングは、1位が広告を表示する「Hotbar/Zango」、2位が詐欺的ソフトウェアの「DriveCleaner」、3位が広告を表示する「Mirar WebBand」となった。

　2位の「DriveCleaner」と6位に入っている「ZeroVirus」は、いずれも偽のセキュリティソフト。ZeroVirusのサイトは、ソフトを配布するだけでなく、ユーザーを信用させるため、セキュリティ情報サイトのようになっているという。

　トロイの木馬のラインキングは、1位がバックドアを仕掛ける「Trojan DNSChanger」、2位がワンクリックウェアの「Trojan Hachilem」、3位がバックドアを仕掛ける「Trojan-Relayer-NextPart」となった。

　1位の「Trojan DNSChanger」と、2位の「Trojan Hachilem」は、ビデオコーデックを装ってインストールさせようとするもの。ウェブルートでは、こういった手法について、「以前は特定の領域に興味を持った人がターゲットにされていたが、現在ではより多くの人がターゲットにされている」と指摘している。


http://www.rbbtoday.com/news/20080111/47788.html
2007年12月は偽セキュリティソフトが急増、トロイの木馬はターゲットを広げる～ウェブルート調べ

　ウェブルート・ソフトウェアは11日、2007年12月の国内トップ10スパイウェアランキングを発表した。

　発表によると、アドウェアランキングの2位と6位に日本語版が提供されている偽セキュリティソフトウェア「DriveCleaner」と「ZeroVirus」がランクインしている。現在のZeroVirusサイトはセキュリティ情報サイトのようになっていて、単なる配布サイトではなくなっている。

　トロイの木馬では、ビデオコーデックを装った「Trojan-DNSChanger」がトップとなった。以前はアダルトサイトで配布されていたが、現在はアダルト動画に限らず多くのサイトで配布され、Mac版も登場している。2位はワンクリックウェアの「Trojan Hachilem」。ワンクリックウェアでは、YouTubeを悪用してインストールさせようとするものが出てきていて、より多くのユーザーがターゲットになっていることが伺える。

　2007年12月の国内トップアドウェアランキングは以下の通り。

1位（↑、5位））：Hotbar/Zango (低い)
コンピュータ上に広告を表示するアドウェアプログラム
----------------------------------------------------------
2位（↓、1位）：DriveCleaner (やや高い)
ユーザの同意なしにインストールされ、Windowsのスタートアップに登録されるシステムメンテナンス・セキュリティアプリケーション。
----------------------------------------------------------
3位（↑、4位）：Mirar WebBand （やや高い）
コンピュータ上に広告を表示するアドウェアプログラム
----------------------------------------------------------
4位（↑、圏外））：CnsMin　（高い）
ウェブサーチや、ホームページ、IEのセッティングをハイジャックするアドウェア
----------------------------------------------------------
5位（↑、圏外））：Lopdotcom　（非常に高い）
コンピュータ上に広告を表示するアドウェアプログラム
----------------------------------------------------------
6位（↑、圏外））：ZeroVirus (高い)
コンピュータ上に広告を表示するアドウェアプログラム
----------------------------------------------------------
7位（↑、圏外））：DeltaClick (やや高い)
コンピュータ上に広告を表示するアドウェアプログラム
----------------------------------------------------------
8位（↑、圏外））：BHO_Xmlhelper (やや高い)
コンピュータ上に広告を表示するアドウェアプログラム
----------------------------------------------------------
9位（↑、圏外））：Eqiso Toolbar (やや高い)
コンピュータ上に広告を表示するアドウェアプログラム
----------------------------------------------------------
10位（↑、圏外））：GAIN - 共通コンポーネント （低い）
GAIN advertising networkから提供されるソフトウェアに対する広告ソフトウェアコンポーネント
----------------------------------------------------------

　2007年12月の国内トップトロイの木馬ランキングは以下の通り。

1位（↑、圏外）：Trojan DNSChanger (非常に高い)
コンピュータがオンラインの時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
2位（↑、7位）：Trojan Hachilem　（非常に高い）
ユーザの気付かないうちに許可なくウェブサイトへのアクセスを許すトロイの木馬
----------------------------------------------------------
3位（↑、圏外）：Trojan-Relayer-NextPart (高い)
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
4位（↑、圏外）：MSBlast (高い)
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
5位（↑、9位）：SDBot （高い）
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
6位（↑、圏外）：LdPinch Trojan （非常に高い）
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
7位（↑、圏外）：Trojan-Backdoor-5sec （非常に高い）
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
8位（↑、圏外）：Trojan-Backdoor-msdcom32 （非常に高い）
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
9位（↓、2位）：Trojan-Backdoor-Poebot (非常に高い)
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
10位（↑、圏外）：Trojan-Backdoor-Ranky （非常に高い）
コンピュータがオンライン時にハッカーに無制限のアクセスを許すトロイの木馬
----------------------------------------------------------
(富永ジュン@RBB 2008年1月11日 14:43)
キーワード： ウェブルート 偽セキュリティソフト トロイの木馬 スパイウェア