偽セキュリティーソフト

ウイルスに感染したようです。という連絡を受けて、お伺いすることに。「デスクトップセキュリティ2010」というソフトが勝手に起動し、閉じても閉じても勝手に起動してしまうとのことです。メッセージは英語で表示されているので、よく分からないとのことでした。

現象確認

「デスクトップセキュリティ2010」をGoogleで検索したところ、偽セキュリティーソフトらしいことが分かりました。偽セキュリティーソフトとは、ウイルス検査やセキュリティーソフトのふりをして、実は自分自身がウイルスやスパイウェアであるソフトのことです。一見すると本物のウイルス対策ソフトとよく似た画面ですので、偽物とは気がつかないことも多いようです。

まずは現象の確認です。パソコンのスイッチを入れると、普通にWindowsが起動しました。しかし、起動後まもなく「Desktop Security 2010」なるソフトが勝手に立ち上がってウイルススキャンを始めました。次々とウイルスを検出しては「ウイルスを削除したければ有料版を買ってね」(意訳)というメッセージを表示します。閉じるボタンでウインドウを閉じても、1分もしないうちにまた同じウインドウが開いてしまいます。

以前から利用していたウイルスセキュリティーZEROを起動してみると、実行ファイルが削除されてしまっていたので、起動できませんでした。

駆除開始

まずは、セーフモードで起動してみますが、相変わらず偽セキュリティーソフトが起動します。タスクマネージャーで怪しげなタスクを停止してみますが、すぐに復活してしまいます。怪しげなタスクはいくつかありますが、いずれかのタスクを停止すると、別のタスクがすぐに復活させているようです。面倒ですね。作業中にも偽セキュリティーソフトが起動して、その都度作業を中断させられます。

怪しげなタスクの目星が付いたので、レジストリエディターmsconfigを起動し、怪しげなタスクを呼び出している箇所を削除していきます。もちろん、レジストリキーを削除する前には念のため、バックアップを作成しておきます。偽セキュリティーソフトの実行ファイルを削除しようとするとエラーで削除できませんでしたので、タスクの優先度を最低にして、タスクが復活する前に実行ファイルを削除してしまいました。再起動すると、見事に元に戻りました。

偽セキュリティーソフトが起動しなくなりましたので、元々使っていたウイルスセキュリティーZEROをインストールし、システム全体を検査しました。先ほどのソフトの残骸が残っていましたので、削除しました。たまっていたシステムアップデートを行ない、作業完了です。

疑問点

お客様からいくつか質問を頂いたので、お答えしました。

なぜ感染したのでしょうか?

感染した現場を見たわけではないのではっきりしたことは言えませんが、スパムメールや掲示板、悪意のあるバナー広告などを開いた場合に感染することがあります。

ウイルス対策ソフトを入れていても感染するのでしょうか?

ウイルス対策ソフトは万能ではありません。最新のパターンファイルを入れていても、ウイルスやスパイウェアに感染してしまうことはあり得ます。普段からこまめなバックアップが大切です