「クリックしないとデータを消すよ」:日本語で脅迫--不正プログラムを確認

  • このエントリーをはてなブックマークに追加

 トレンドマイクロの研究機関であるTrendLabsが特徴的な日本語の警告画面が表示される新たな不正プログラムの検体を2月に確認している。トレンドマイクロが3月8日にブログで発表した。

 この事例は「Skype」のインストールモジュールを装ってPC内に侵入する。ファイル名は「SkypeStartUp0.exe」で、侵入経路はウェブサイトからのダウンロードあるいは感染ユーザーによるメール添付による配布などが考えられるという。このモジュールをユーザーが実行すると、「起動中」というタイトルで以下のような“脅迫文”が表示される。

←をクリックしないとパソコンのデータ全部消すよ
後、データ削除と一緒に個人情報も全て公開するね
インターネットのページが開くまでクリックだよ?もちろんわかってるよね…?
後、このウイルスを他の人(50人)に感染させたら特別に、ウイルスを駆除してあげるね。(後50人)

 脅迫文の横に表示されているのは実在するウェブサイトへのリンクであり、ユーザーにクリックさせることで最終的にはアフィリエイト収入を得ることを目的にしていると推測されるという。ユーザーが「閉じる」ボタンをクリックし閉じようとすると、「本当の本当に閉じるの?」というメッセージが表示される。「はい」「いいえ」のどちらをクリックしてもダイアログは閉じるが、プロセスは常駐するという。

 この不正プログラムは、多くの不正プログラムのようにスタートアップへの登録やファイルの作成、レジストリの変更といった活動は行わず、再起動すると終了する。このため、脅迫文にあるようなデータの削除や個人情報の公開といった不正活動は行われないとしている。

 また、同時期に類似した不正プログラムも確認している。こちらは「Yahoo!メール」用のアプリケーションを思わせるアイコンとファイル名「YahooMail0.exe」を使用している。ユーザーが実行すると、SkypeStartUp0.exeと同じような動作を行うが、脅迫文は表示されず、空白となっている。

 リージョナルトレンドラボによる解析では、作者のプログラミング能力はさほど高くないと推測されるが、最終的にアフィリエイトサイトへ誘導している点から金銭的な利得を目的としている点は明らかで、今後より巧妙なプログラムが登場する可能性も否定しきれないとしている。

  • このエントリーをはてなブックマークに追加