ノートパソコン dynabook が 
8万円から♪偽セキュリティソフトSecurity Toolを100%感染防ぐ方法とウイルス解析
スペインのセキュリティ会社 Panda Security が運営している ウイルス解析サイト のオンラインサービス Autovin を使った 偽ウイルス対策ソフト の1つ Security Tool のウイルス解析サンプルです。
Security Tool の感染経路とウイルス対策
悪意のある第三者により改ざん被害を受けてる日本国内の一般サイトにて、ロシアなどのドメインを持った不正なページが強制的に読み込まれる仕掛けになっています。
ネットサーフィンのサイト閲覧だけでウイルス感染被害!
ドライブバイ・ダウンロード攻撃とは
ドライブバイ・ダウンロード攻撃とは
ユーザーさんに気づかれることなくブラウザ内で不正なページが読み込まれると、使っているブラウザに応じて特定ソフトウェアの 脆弱性 (読み方 ぜいじゃくせい) を悪用する攻撃処理が次々と読み込まれます。
- Internet Explorer ユーザーさん
Mozilla Firefox のユーザーさん
→ Adobe Reader の脆弱性
→ Adobe Flash Player の脆弱性
→ Java の脆弱性
脆弱性を突く処理が成功裏に終わると、「load.exe」 といった任意の 実行ファイル (拡張子 .exe) が何の確認もなく強制的に起動して、Windows パソコンは無事に感染 THE END です。
感染に至るまで、異変に気づけるような余裕はなく、Security Tool の感染はホンの数秒での出来事です。
この攻撃を100%確実に回避するには、ウイルス感染経路を取り除く無料セキュリティ対策 を Windows ユーザーさんがキッチリ実施することです。 
<バージョン確認ツールで Windows PC のセキュリティ診断 ♪
<バージョン確認ツールで Windows PC のセキュリティ診断 ♪Security Tool の動作解析
そんなわけで、その 「load.exe」 ファイルを Autovin に放り投げた解析結果の抜粋です。
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Possible Malware: YES
Scanner Information:-
・ Packed.Win32.Katusha.a
・ a variant of Win32/Kryptik.EEN trojan
実行ファイル 「load.exe」 は、Autovin 解析上でのファイル名が 「sample.exe」 になります。
実際のところ、このファイルはウイルス本体ではなく、別の実行ファイルをダウンロードしてきて起動させる役目 ダウンローダー型トロイの木馬 でした。
まず、不正なドメイン 「195.88.144.79」(ポーランド)、「94.102.52.38」(オランダ) の2ヶ所にアクセス、実行ファイルをダウンロード、Windows の Temp フォルダやドキュメントフォルダーに投下、最後に起動を試みます。
#– Malicious Processes Dump: –
sample.exe::PID=1508:1516::UID=0::Action=6:127.0.0.1:1028->195.88.144.79:80
sample.exe::PID=1508:1516::UID=0::Action=6:127.0.0.1:1029->94.102.52.38:80
cmd.exe::PID=1640:1652::UID=0::Action=
cmd.exe::PID=1640:1652::UID=0::Action=C:\DocumentsandSettings\Administrator>
cmd.exe::PID=1640:1652::UID=0::Action=del
cmd.exe::PID=1640:1652::UID=0::Action=”C:\WINDOWS\Temp\_ex-68.exe”
cmd.exe::PID=1640:1652::UID=0::Action=if
cmd.exe::PID=1640:1652::UID=0::Action=exist”C:\WINDOWS\Temp\_ex-68.exe”
cmd.exe::PID=1640:1652::UID=0::Action=goto
cmd.exe::PID=1640:1652::UID=0::Action=try
cmd.exe::PID=1640:1652::UID=0::Action=cmd.exe
cmd.exe::PID=1640:1652::UID=0::Action=/cstartC:\DOCUME~1\ALLUSE~1\APPLIC~1\68802226\68802226.exe/i
cmd.exe::PID=1640:1652::UID=0::Action=”C:\DOCUME~1\ALLUSE~1\APPLIC~1\68802226\68802226.bat”
その結果、作成されたファイル群です。
#– Files Created: –
/Documents and Settings/Administrator/Desktop/Security Tool.lnk
/Documents and Settings/All Users/Application Data/68802226
/WINDOWS/Temp/Perflib_Perfdata_588.dat
/WINDOWS/Temp/_ex-08.exe
/WINDOWS/system32/Packet.dll
/WINDOWS/system32/drivers/npf.sys
Security Tool のウイルスチェック場面が出現し、デタラメなウイルス感染警告を表示しまくって Windows パソコンの操作を激しく妨害してきます。
その後は、「対処したけりゃカネ払って Security Tool の有償版を買えぃ!」 です。
