「クリックしないとデータを消すよ」と日本語で脅迫する不正プログラム登場、「Skype」などに偽装

コンピューターウイルスなどの不正なプログラムにはさまざまな挙動をするものがありますが、「クリックしないとデータを消すよ」と日本語で脅迫する不正プログラムが登場したことが明らかになりました。

「突然よく分からない英文が表示される」というのも十分驚きますが、なまじ読める言葉であるだけに余計にインパクトがあるのかもしれません。

詳細は以下から。
「クリックしないとデータを消すよ」　日本語で警告する不正プログラム | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

セキュリティソフト「ウイルスバスター」シリーズでおなじみのトレンドマイクロの公式ブログによると、同社は全世界の脅威情報を集約して対策技術を提供する「TrendLabs（トレンドラボ）」と、地域に密着して脅威情報の収集を行う「リージョナルトレンドラボ」を世界の計12ヶ所に設置し、24時間体制でインターネットの脅威動向を監視しているそうです。

そして現在、日本のユーザーを標的にしたターゲット型（標的型）攻撃や、日本語表記の偽セキュリティソフトの存在も数多く確認されていますが、2007年に東京本社内で稼働開始した日本のリージョナルトレンドラボで、2011年2月に特徴的な日本語の警告画面が出る新たな不正プログラムの検体が確認されたとのこと。

これが不正プログラム。「SkypeStartUp0.exe」というファイル名で「Skype」のインストールモジュールを装ってパソコン内に侵入するというもの。侵入経路はウェブサイトからのダウンロードや感染ユーザーによるメール添付での配布などであると見込まれています。

モジュールを実行すると「起動中」というタイトルで「クリックしないとパソコンのデータ全部消すよ」という脅迫文が表示されます。なお、脅迫文の横に表示されているのは実在するウェブサイトへのリンクで、クリックさせることでアフィリエイト収入を得ることが目的だと推測されています。

脅迫文の文面はこんな感じ。

←をクリックしないとパソコンのデータ全部消すよ
後、データ削除と一緒に個人情報も全て公開するね
インターネットのページが開くまでクリックだよ？もちろんわかってるよね・・・？
後、このウィルスを他の人（５０人）に感染させたら特別に、ウィルスを駆除してあげるね。（後５０人）

「閉じる」ボタンを押すと「本当の本当に閉じるの？」というダイアログが表示されますが、「はい」「いいえ」のいずれを押してもプロセスは常駐。スタートアップへの登録やファイルの作成、レジストリの変更といった活動は行われないため、「データの削除や個人情報の公開」といった脅迫文の内容は実際には起きません。

また、「Yahoo!」のメールサービス「Yahoo!メール」用のアプリケーションを思わせる「YahooMail0.exe」というファイル名の不正プログラムも確認。

ユーザーが実行すると「しばらくお待ちください」という画面が表示され、ウィンドウ内には外部のサイトの広告を表示されます。

閉じようとしたところ。脅迫文は表示されませんが、「本当に閉じますか？」という画面が表示され、「はい」「いいえ」どちらを選んでもプロセスが常駐したまま残る、ファイル作成やレジストリ作成が行われない、という活動は共通しています。

ちなみにリージョナルトレンドラボによる解析では、作者のプログラミング能力はさほど高くないと推測されますが、最終的にアフィリエイトサイトへ誘導している点から金銭的な利得を目的としている点は明らかで、今後より巧妙なプログラムが登場する可能性も否定しきれないとのこと。

トレンドマイクロは新種の不正プログラムなどによって同様の事態が発生した場合は、偽セキュリティソフトなどと同様に焦らず落ち着いて対処するように呼びかけています。