« トイザらス・ベビーザラス楽天市場店の送料無料が一部無料じゃなかった件 | トップページ | 無料で2つの(サブ)ドメインがもらえるco.ccドメインとSiteMix(サイトミックス)で完全無料のWordPress blogを作る【追記あり】 »

2012/03/28

ウィルス対策ソフトだけじゃ守れない!「System Check」ウィルス(マルウェア)について

昨年から今年にかけて流行しているといういわゆる「System Check」ウィルスってご存じですか?
まさか有料のウィルス対策ソフトをインストールしているから大丈夫!と思っているあなた.本当に大丈夫ですか??

偽ウィルス対策ソフト型のマルウェアについて

実はこの「System Check」ウィルスはFlashやAdobe Readerの脆弱性(ぜいじゃくせい)を狙って侵入するタイプのウィルスで,一般にはマルウェアというようです.
いったんこの「System Check」ウィルスにかかるとアラートが出てきてお薦めのセキュリティソフト(もちろん嘘)を購入するようにとしつこく出てきます.
また,スタートメニューにあるプログラムが見えなくなり(削除されるわけではない)一見どうしようもなくなるようです.

昨日のInternet Watch にもFlashベースの偽ウイルス対策ソフトが出回る、シマンテックが注意喚起 という記事が出ていました.

また,IPA(独立行政法人情報処理推進機構)でも2012年2月のリポート「コンピュータウイルス・不正アクセスの届出状況[2月分]について」で「System Check」の被害が出ていると書いてありました.

その中で,被害にあったコンピューター11件のうち,ウィルス対策ソフトを導入していたのは10件ということがわかっています.つまり,ウィルス対策ソフトだけじゃ防げないということです.

System Checkウィルス(マルウェア)の侵入経路

では,この「System Check」ウィルスはどのようにして侵入してくるのでしょうか.
実はこのウィルスはFlashなどのプログラムに潜む欠陥(というかプログラム上の設計ミス)である脆弱性をついて侵入するのです.
そして,これらは一般のサイトに侵入し,脆弱性の残ったコンピューターからそのサイトにアクセスすることで簡単に感染してしまいます.
感染すると,アラート(警告)を出してコンピューターに問題が生じたことを知らせます.もちろん嘘です.

【パソコン人質】 偽パソコン診断ソフト型ウイルスの感染被害が猛威 【身代金脅迫】というサイトでこの「System Check」ウィルスに感染した状態のスクリーンショットが載っています.

感染しないためにはどうすれば良いか

この「System Check」型ウィルスは先ほどから書いている通りFlashなどの脆弱性を狙ったものであるので,まずは自分のコンピューターにインストールされているソフトウェアが最新かどうかをチェックする必要があります.そのためには以下のようなソフトウェアやサービスを利用すると便利です.

Windowsupdate

脆弱性に関してはいわゆる「ゼロデイアタック」というものがあり,未公表の脆弱性を狙って侵入するタイプのものにはまるで役に立ちません.実は,iPhoneのJailBreakやAndroidのroot取得もこれらの脆弱性をついて侵入するタイプのプログラムなのです.

とはいえ,とりあえずは上記のいずれかのサービスを利用するか,自分でFlash,Adobe Reader,Javaなどのソフトのアップデートを行う必要があります.

もし「System Check」ウィルスに感染したら

ここからが大事なところです.現在「System Check ウィルス 駆除」などで検索すると多くのblogが見つかります.それぞれ詳しく書いてあるのですがちょっとむずかしいなと感じています.

実は知り合いのコンピューターがこの「System Check」ウィルスに感染したので今回様々なblogを見ながら修復を試みました.その中で2012年3月時点で有効であると思われる方法について書いてみます.

まずは偽セキュリティソフトの起動を押さえる必要があります.このソフトをkillしないと何も出来ないからです.
有効な方法としては偽セキュリティソフトにだまされたふりをして偽のメールアドレスで登録するというやり方と,無理矢理killするやり方があります.「System Check」ウィルスと言っても亜種がいくつもあるのですべて同じとは限りませんから,自分にあったやり方でやりましょう.
まず最初のやり方ですが,マルウェア「System Check」駆除手順 その2「Chonpapa's blog」】に詳しく書いてありました.

こうすることでいったん「System Check」の起動を抑えることが出来るようです.

もう一つのやり方として私がやったのはセーフモードで再起動(BIOSが出てWindowsのロゴが出る前にF8キー連打)させてregeditを起動し,関連のレジストリを削除するやり方です.今回はHKEY_CURRENT_USER→Software→Microsoft→Windows→Runにありました.どうもc:\program data\にランダムな********.exeというプログラムがありこれを自動起動するようになっているらしい.
ということでこのキーを削除し,c:\program data\上にある怪しいファイルをいくつか削除しゴミ箱からも削除しました.

Systemcheck_reg

どうもこのやり方は通常起動してすぐさまControl+Alt+Delを押してタスクマネージャーを起動して該当のプログラムを削除しても出来るようです.

これらのやりかたで「System Check」をkillすればあとはこっちのもんです.他のPCからMicrosoftから Microsoft Safety ScannerをダウンロードしてUSBメモリに入れておきます.出来れば感染したコンピューターはLANケーブルを抜いておきましょう.
「System Check」に感染するとプログラムを開くことが困難になります.

確かスタートメニューから空のプログラムフォルダを右クリックして「開く」でエクスプローラーが表示されるはずなのでそこからリムーバブルディスクを探し出して Microsoft Safety Scannerの本体であるmsert.exeを起動します.スキャンはフルスキャンを選択します.
実はレジストリを削除していればもう大丈夫なはずですが不安なのでmsert.exeでフルチェックします.上のコードを入力して無効化していればMicrosoft Safety Scannerが発見して修復してくれます.

修復が完了してもまだまだやることが残ってる

msert.exeによるフルスキャンが終了したらまずはお疲れ様です.しかし,スタートメニューやタスクバーが真っ白なのでこれを修復します.これらはunhide.exeというソフトウェアを使うことによって修復してくれます.

実際にやってみるとかなりの時間がかかりましたが,最終的にはスタートメニューは復活することが出来ました.しかし,コンピューターやコントロールパネルが消えてましたのでスタートメニューの空白部分で右クリック→プロパティにある「タスクバーと【スタート】メニューのプロパティ」にある【スタート】メニュー右のカスタマイズをクリックし,「規定の設定を使用」を押してOKして適用をクリック.

Startmenu_custom

タスクバーにあったプログラムが消えてたので必要なプログラム(ショートカット)はドラッグしなおしました.Windows 7ではC:\Users\xxxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar にショートカットがあるのでここをチェックします.
でもなぜかここに残っているのにタスクバーに出てこないものがあったりしたので再度入れましたが,エラーが出てしまうので結局消して再度入れることにしました.

Cannotopen_program

修復が面倒なら「システムの復元」の方が簡単

最近のWindowsではソフトウェアをインストールする際やMicrosoft Updateの際にシステムの復元ポイントを自動で作成してくれています.もしも復元ポイントが前日などに作っていればこっちの方が簡単だと思われます.
とはいえ,こちらの場合も「System Check」ウィルスの起動を辞めさせることが必要です.

コントロールパネルの「回復」を開くと「システムの復元」がありますので「システムの復元を開く」から復元ポイントを見ます.

Recover_system1

Recover_system2

Recover_system3

今回はこちらからシステムの復元をしようとしたのですが,画面がフリーズしたままになったのでやむなく他の方法をとることにしました.どうもセーフモードやDVD起動から復元するとうまくいきそうなのですが今回は試していません.

でもまだ消えない疑い

これで一応以前の状態に近くはなりましたが,この「System Check」ウィルスはrootkitをインストールするものもあるとのことで,無料で使える各種ソフトウェアでチェックする必要があります.

rootkitをチェックして駆除できるフリーソフト【2012/03時点】

その他にもSpybotEmsisoft Emergency Kit 1.0 の他に主要ウィルス対策ソフトでもマルウェアに対応したものもあるようです.

最後に

今回「System Check」ウィルスに触れ,セキュリティソフトを入れるだけじゃ安全では無いということを実感しました.また,普通のサイトが感染し,一般の人がそれらのサイトを閲覧するだけで感染してしまうというGumblar 以来の大型マルウェアに驚くとともに,主要ソフトウェアのアップデートを心がけ無ければいけないことを痛感しました.

« トイザらス・ベビーザラス楽天市場店の送料無料が一部無料じゃなかった件 | トップページ | 無料で2つの(サブ)ドメインがもらえるco.ccドメインとSiteMix(サイトミックス)で完全無料のWordPress blogを作る【追記あり】 »

パソコン・インターネット」カテゴリの記事

コメント

この記事へのコメントは終了しました。

広告


  • Googe Adsense

Ad




  • ネットショップ

Googleで検索

2016年6月
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    

SNS

アクセス解析