WinAntiVirusとErrorSafeは「振り込め詐欺」だ

ネットサーフィンをしていて海外のサイト(おや、そこのアナタ。いまよからぬ想像をしましたね?)へ行ったところ、いきなりこういうポップアップの警告画面が登場した。

新しい脅威が検出されました
このブログにしては珍しく、この記事の画像はクリックすると大きく表示されます。以下同じ

うーむなになに...

「新しい脅威が検出されました:ウィルス名新しい脅威が検出されました:ウィルス名「Bloodhound Virus」感染を防ぐ為、セキュリティソリューションをダウンロードするのオススメします。感染を防ぐ為、セキュリティソリューションをダウンロードするのオススメします。」

さて、WEBサイトを訪問した程度で、はたして相手側のサーバーが僕のPCの脅威を検出できるものなのだろうか?少なくとも今までそういう経験はなかった。それに日本語が何かヘンだぞ
そこでウィンドウの「バツマーク」をクリックして消すと、お次はこんなポップアップが表示された。
パソコンを保護する為に案内します

貴方のパソコンは「ブラックウォーム」に感染される恐れがあります。ご覧のセキュリティソリューションをダウンロードするのお勧めします。
「ブラックウォーム」は危険性の高いウィルスであります、2006年2月に出現して、すでに多くのコンピューターの情報を破損しました。このウィルスはすでに百万のパソコンを感染して、インターネット上で色んな国で広がれています。

警報!セキュリティセンターは貴方のパソコンにセキュリティミッスを検出しました。そして貴方の個人情報違うコンピューターに伝送される恐れがあります。以下のプロセス(Win32res.exe)ご覧の情報を送信しました。(以下情報省略)
現在使用てるアンチウィルスは個人情報の伝送を防ぐ事ができません。貴方のコンピュータすべての脅威を防ぐ為、ご覧のプログラムをダウンロードして下さい

日本語が何かヘンなのはともかくとして、急に善意ではなく商売っ気を出してきたぞ。しかもIPアドレスやらブラウザやらOSやらとフツーにネットサーフィンしていれば、相手側にバレバレの僕の情報を、いかにも「個人情報ゲットだぜ!」と見せつけるのもヘンな話だ。そもそも「アナタのウィルスソフトでは駆除できないけど、アタシのソフトでは駆除できるよん」と断言できる根拠は何なのだろう?

しかもこのポップアップウィンドウだが、僕のブラウザでは立ち上がって5秒後に右へとスライドし、ウィンドウを消すためのバツマークがモニターから消えてしまったたのだ(対策はカンタンだ。「更新」ボタンでリロードすればいい)。無理やりでもダウンロードさせようという態度は、良心的なウィルスソフトメーカーのやることじゃない(ネット上で不特定多数に対し、その意志に反して一方的にアピール攻勢してくるビジネスにはマトモなモノはない)。
いや、こういう商売をする奴は、無理やりダウンロードさせたい理由があるのだ。

ではこの「WinAntiVirus」というソフトなのだが、一体どういうソフトなのだろう?
頼もしい味方のgoogle先生にお伺いを立ててみたところ、上位2件はこのソフトのメーカーである「Winsoftware」のサイトだった(2006年6月4日現在)。よく読むと日本語がヘンだが、それでも体裁は整っている。

ところが上位から3件目に注目あれ(検索時期によって変動する可能性あり)。スパイウェアのデータベースで有名な「SpywareGuide」ではこのソフト自体が「スパイウェア」であると定義されているのだ。
http://www.shareedge.com/spywareguide/product_show.php?id=2731

根拠のない「感染の恐れ」をしつこく警告した上、ソフトをダウンロードさせる。その後は支払いを要求してくる。
クレジットカードの番号でも書こうものなら....しかもこの「アンチウィルスソフト」自体がスパイウェアとして貴方の情報を送信し続ける可能性があるわけだ。

今ブームの振り込め詐欺と全く同じ手口なわけだが、おそらく被害者の率は遥かに高くなると思われる。このblogを読まれた方は注意されたし。

さて、僕がこのポップアップ広告を見たサイト(後で紹介する)だが、この記事を書くにあたって再度訪れてみたところ、これまた違った現象が発生した。

この警告ウィンドウを消すと、自動的にこんなウィンドウが立ち上がった。そして勝手にヒトサマのパソコンの中をスキャンし始めた。その時間は約10秒というすばやいもの。その結果がコレだ。
ErrorSafe
結論から言うと明らかにインチキである。
僕のPCはたしかに自作であるが、たかが10秒の「急速なスキャン」で53ケ所ものシステムエラーが出てくるほどヤワではないし、10秒で何をスキャンしようというのだ(スパイウェア駆除ソフトのSpybotでCドライブだけスキャンしても5分以上ははかかるぞ!)。そしてスキャン中に見えた「僕のPC内のファイル名」を見ている限りでは、明らかにインチキであった(後でよく調べてみると、単にFlashのアニメーションだった。スキャンなんかしていない)。
ちなみにこのウザい広告のプライバシーポリシーはこんな感じだ。
プライバシーポリシー1
プライバシーポリシー

更に次。この画面を消すと、自動的にこんな画面が立ち上がる。

えっ?スキャンが未完了?おいおい、さっきのウィンドウで君は結論を出したろうに,.,

んでもってこのウィンドウを消すと、お次はこれが立ち上がる。

前者のウィンドウにはキャンセルボタンがあったが、今度のウィンドウにはキャンセルボタンがないことに注目。
有無を言わさずに何かを実行しようとしているのだ、コイツは。
さすがにこの選択肢のなさには、僕も驚いた。今までにない手法と言っていいだろう。

そしてとどめの一発がこの次だった。ウィンドウを消した瞬間に、このウザイ広告はアヤシゲな「何か」のダウンロードを始めようとしたのだ。

この画面には説明が必要かもしれない。僕は普段デフォルトのブラウザとしてInternet ExplorerではなくてFirefoxというブラウザを使用している。しかし、こういうネタを拾う際には、あえてInternet Explorerを使用する。その方が「引っかかりやすい」からだ。

ところがどっこいで、上の選択肢のないウィンドウを消した瞬間にFirefoxが起動し、そのダウンロードマネージャーがこの様にアクティブな状態になったのだ。キャンセルすればいい話なのだが、この一連の流れを見ていると、前者に比べると遥かに悪質で半強制的であることがわかる。

しかも御丁寧にも、ダウンロードマネージャーのバックグランドではFirefoxがこのような表示をしていた。

このError Safeの「SpywareGuide」におけるレポートはこんな感じだ。
http://www.shareedge.com/spywareguide/product_show.php?id=2740

「振り込め詐欺」に引っかかる人が、統計的にどの程度の割合なのかは知らないが、コチラの手法に引っかかってしまう人の率は、はるかに多いのではないだろうか?
今までにない悪意のテクニシャン集団の存在を感じた。
こうやってblogに晒すことで、何かの助けになればいいなと思う。

さて、最後になるが僕がこの広告に遭遇したサイトを紹介しておこう。
ビートルズのジョージ・ハリスンのかつての妻、パティ・ボイドを紹介したサイトだ。
A Pattie Boyd Site
http://members.fortunecity.com/pattiboyd
(直リンはしません。自己責任で行って下さい)

彼女は1960年代の「スィンギン・ロンドン」を代表的する美しいモデルだったが、映画の撮影でジョージと出会い、やがて結婚する。ところがジョージの大親友であるエリック・クラプトンが彼女の事を好きになってしまったのだ。クラプトンはその禁断の愛に鬱々とし、やがて薬物中毒にまでなってしまう。そんなクラプトンが彼女への想いを捧げた有名な歌が「いとしのレイラ(Layla)」だった。

綴りこそ違うものの、例の「NANA」に登場したレイラ(REILA)と、どうしてもオーバーラップしてしまうため、ネタになるかなと、そのサイトを久々に覗いたのが運のツキだった。

正直いって、このサイトは以前からブックマークを付けていたし、以前はこういうウザイ広告が立ち上がることはなかった。それが今回このようになったという背景には、もしかしたら管理人も把握できていない何かが起きている可能性はある。たとえば管理人のPCがすでに感染しているとか、WEBスペースを提供しているサーバーの会社がそういう広告に対するモラルがないとかだ。

この広告の特徴は、ブラウザのCookieやキャッシュをこまめに消去しているような人間でない限り、再度このサイトに訪れても、あのウザイ広告は二度と出てこない、という点だ。そりゃそうだ。一応「アンチウィルスソフト」なんだから、ダウンロードしてインストールしてしまった後も、そのサイトに訪れる度に、ポップアップが出ていたら、即座に「インチキ」だとバレてしまうからね。

したがって二~三度目から出てくる広告はこんなヤツだ。
激代
激代って.....そんな日本語あるのか?

6月18日追記:Internet ExplorerのおけるError Safeの自衛策については、「nJoy – ErrorSafe に気をつけて」に詳しいので参照されたし。

なお、私よりもずっと以前から、このスパイウェアの存在を警告されていた方を紹介しておきます。
ミズタマのチチ:ピヨピヨ  – 悪質なスパイウェア、WinAntiVirusとWinAntiSpyware。

また、Lucaさんの記事は科学的に検証されており、またwinfixer.comの関与とWhoisのチェック結果も掲載されているので、是非ごらん下さい。
「Semplice – ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法

さらに追記
Lucaさんの方で、広告を表示させた主体についての分析をされています。必読です。
「Semplice – ErrorSafeによる詐欺的ダイアログ表示 – 誰が広告を表示させたのか

コメント

  1. rei より:

    先日、画面上にいきなりerror safe が出て来まして、確か、インストールをしてしまったと思うのですが、調べてみると詐欺だと知り、慌ててコントロールパネルで確認してみるとerror safe は無かったのですが、気持ちが悪いので、ノートンでスキャンして、ウィンドーズアップデートをし、最後にスパイボットに削除と修正をかけて見た所、最高危険度の検知が出て来たので、そのまま続行しました。ところが、今日、スパイボットに削除と修正をかけてみたら、またまたノートンから最高危険度の検知が出て来ました。プロバイダーに相談しましたらおそらくデリストリーが書き換えられたかも知れないので、初期化に戻すか、メーカーに相談してデリストリーに関して質問してみてはどうか?と言われました。個人情報が漏れる心配は余り無いだろうとも言われましたが、この方法しかないのでしょうか?

  2. spiduction66 より:

    >rei
    「デリストリー」ではなく「レジストリ」ですね。
    birdさんへのレスで書いたURL参照先が参考になると思いますが、ここではSPYBOTの対処後にATF-CLEANERをインストールしてinstall.exeを削除していますね。一時ファイルの削除方法は他にもあります。
    しかし....一番良いのはPCのメーカーに相談してみることです。レジストリの書き換えは危険ですので。

  3. rei より:

    早速の返事有難うございます。「レジストリ」ですね。間違えていました。きちんと憶えておきます。m(__)m やはり、このままではPCの状態に対しても良い事ではないのですね? 完全に対処しないといけないのであれば、FUJITSU に連絡して修理に出さないと駄目なんですね。。。ちなみにXPなのですが。。。明日にでも連絡してみます。また色々と疑問に思えた事柄がありましたら教えて下さいね。宜しく御願いします。

  4. rei より:

    昨日、メーカーに問い合わせてみた所、やはり初期化に戻した方が良いとの事でした。そのままの状態で置いておくのはウィルスの種類がはっきりしない為早めに処置するのが良いと言われました。私の場合、MeからXPにOSを変えた為、初期化に戻すと言う事はMeに戻ると言う事なので、新しくPCを購入しようかどうか思案中です。

  5. spiduction66 より:

    >reiさん
    まず初期化(クリーンインストールとかリカバリとか言われる動作)の必要はないと思います。
    メーカーさんは最も無難でリスクの少ない返事をしなければならないので、そう言うかもしれませんが...

    逆にそこまでの覚悟があるのならば、レジストリの変更を含めて対処に挑戦されてみてははいかがでしょう。幸いそうしたことを解説するサイトがたくさんあるので、必要なものを忠実にやってみて、その結果を検証されたらいいと思います。
    戦うだけ、良い結果がでる筈ですよ。
    戦わないと損する筈ですよ。そもそもSPYBOTのアップデートはしてらっしゃるでしょうか?

    「初期化」の場合の話ですが、私はOSの変更というのをしたことがないのでよくわかりませんが、reiさんが購入されていたFujitsuのPCにはもともとMeがインストールされていて、途中でXPにアップグレードしたということですよね。その差分をどのように入手されたのか、あるいはXPそのものを購入されたのかが、よくわかりませんが、もしXPをお持ちならばXPをインストールしなおせばいいのではないかと思います。

    そういうことを含めて色々お調べになってみて下さい。

    本当に買う必要もOSの変更の必要もありませんよ。
    (ただし、Me時代のPCならば不満もあるかと思いますが....)
    とにかくいい意味で戦ってください。

  6. cross より:

    はじめまして

    友人のPCがwinantivirusにやられたのですが、そのソフト諸々は削除できました。しかし、その後ネットにつながらなくなってしまいました。レジストリやその他わかるところは調べたのですが、常にIPアドレスが169.254・・・で始まるものに固定されてしまいます。自動取得にはなっているのですが・・・IPアドレスの修復も出来ません。

    どなたか対処法をご存知でしょうか。よろしくご教示ください。

  7. spiduction66 より:

    >crossさん
    うーん、その現象は僕もよ~わかりません。モデムをリセットされてみましたか?さもなくば「IPアドレスが自動取得できない」でググってみるとか?
    どなたか回答できる方いませんか?

  8. cross より:

    spiduction66さん

    ご回答ありがとうございます。
    モデムのリセット等はしてみましたが、かわらずです。

    ググって調べてみます。

    出来るだけ初期化をしない方法で考えてます。
    状況は今も変わらないのでそのほか、何かご存知の方、よろしくお願いいたします。

    cross

  9. rei より:

    お久しぶりです。返事が遅くなってしまい申し訳ございません。今日、ノートンの2007年度版を更新した所、前回質問していた「error safe」が削除になり、修復無しと出ました。PCに対しても依存も影響も無く完全削除と表示がありましたが、改めてスパイボットはインストールしなくても良いでしょうか? 今回更新する際にアンインストールしたのですが、ノートンの対応に監視を付けましたので、どうしようかなと思っております。

  10. rei より:

    すみません。訂正です。先程の文章で、修復無しと書いてしまいました。正しくは「推奨する処理-解決しました処理無し」です。でも、気付かない内に「tracking cookie」を「errror safe」共々危険度「低」で検出され、今回の更新で一緒に解決された様なので、びっくりしたのと、やはりきちんと管理しなくてはいけませんね。そう実感しました。

  11. spiduction66 より:

    >reiさん
    ノートンの機能についてはスパイウェアを検出するものもあると思いますので、直接ノートンに問い合わせて下さい。もしそういう機能があるのならばSpybotは不要でしょう。もともとSpybotはそういう既製ソフトを使いたがらない人用ですから。
    説明は省略しますが、tracking cookieというのはインターネットをしていると通常ならば必ず蓄積されてしまうモノです。これをスパイウェア的にとらえるか必要悪でとらえるかで対処が違ってきます。

  12. rei より:

    早速の返信有難うございます。今まで月一のクリーンアップと週2~3回の完全スキャン、ウィンドウズアップデート、スパイボット等して来ましたが、自分に出来る事はこれ位なのでしょうか? 急に画面上に出て来た「error safe」のケースの時の様に騙されない為にもまず調べてみる事ですね。PCオンチですが、判らない事が色々と多いので宜しければまた教えて下さい。御願いします。

  13. さやか より:

    びっくりしました!被害に遭う前にこの記事見つけられてよかったです。
    ありがとうございました。

    うちのブログで引用させていただきました。(事後報告で申し訳ありません)

    問題あるようでしたら削除します><

  14. spiduction66 より:

    >さやかさん
    コメントとトラバありがとうございました。
    最近では悪意のある投稿者からなされたYoutubeの動画に仕込まれているそうです。御注意下さい。

コメントをどうぞ

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください