勝手にインストール!? 30以上の名前を持つインチキ偽セキュリティソフト (駆除・削除方法)


 感染するパソコンの種類ごとに名前を変動させる偽セキュリティソフトが確認されとりますな~。日本でも数か月前からポツポツと報告が? ソフトの名前は、まずWindows XP環境だと「XP ~」、Vista環境だと「Vista ~」、Windows 7環境だと「Win 7 ~」という頭文字に、いかにも”ウイルス対策的”にありそうなフレーズを引っ付けたものがランダムで選ばれます。 イメージ 1
 ~ Anti-Virus
 ~ Anti-Spyware
 ~ Security
 ~ Home Security
 ~ Total Security
 ~ Internet Security


 そして、末尾には年数”2011”が付くパターンと付かないパターンあり。



  • Remove XP Anti-Spyware 2011, Vista Security 2011, and Win 7 Internet Security 2011 (Uninstall Guide)
    www.bleepingcomputer.com/virus-removal/remove-win-7-internet-security-2011

駆除・削除方法
 んで、「RogueKiller」という無料ツールを使って駆除・削除してみます。入手方法やテキトーな使い方についてはこちら。起動できたら、モード1のScanを行います。この偽セキュリティソフトをこちらの環境で手動感染させた時の診断結果例は下のような感じ。



Bad processes: 1
[APPDT/TMP/DESKTOP] ohs.exe -- c:\users\(ユーザー名)\appdata\local\ohs.exe -> KILLED


Registry Entries: 6
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command :  ("C:\Users\(ユーザー名)\AppData\Local\ohs.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\exefile\shell\open\command :  ("C:\Users\(ユーザー名)\AppData\Local\ohs.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...]exefile\shell\open\command :  ("C:\Users\(ユーザー名)\AppData\Local\ohs.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command :  ("C:\Users\(ユーザー名)\AppData\Local\ohs.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command :  ("C:\Users\(ユーザー名)\AppData\Local\ohs.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command :  ("C:\Users\(ユーザー名)\AppData\Local\ohs.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND


 「ohs.exe」がウイルス本体。が、このファイル名は3ケタのランダム英文字とのことなので、感染パソコンごとに違います。レジストリの改ざんは6か所。これは実行ファイルの起動に絡んだデータがいじられちゃってます。ありとあらゆる実行ファイルを起動すると、必ずこのウイルスが起動するようになってるん。いやはや参りますな。 イメージ 2


 こんな感じの診断結果になったら、「RogueKiller」を終了させ再び起動、今度はモード2のDeleteを行います。隔離室のRK_Quarantineフォルダには、上で言うと「ohs.exe.vir」というファイル名でウイルスが保存されるので、オンラインファイルスキャンするなり、いらなければポイッ。 イメージ 3


感染目的
 今現在のウイルス攻撃の第一の目的は お金★儲け です。感染させて報酬金を貰えます。感染台数が多ければ、それだけ高報酬でウハウハ~。


勝手にインストールされた!?
 このインチキ詐欺プログラムが知らないうちに勝手にインストールされたなら、ドライブバイ・ダウンロード対策をしてない”選ばれしおバカさん”です。その中には、『ウイルス対策はセキュリティソフトを入れさえすればすべて完璧!』というような平和ボケ人間もいますかい? イメージ 4