皆様、こんばんは。
少々記事の投稿期間が空きまして、ご無沙汰しております。
いよいよ6月も間近に迫り、いかがお過ごしでしょうか?
それでは今回の投稿にまいりましょう。
【スポンサーリンク】
「AVASoft Professional Antivirus」及び「System Care Antivirus」
【目次】
さて本日の投稿ですが、先月に投稿しました「AVASoft Professional Antivirus」「System Care Antivirus」の記事を全面改訂したいと思います。
5月に入ってからも依然としてその猛威を振るい続けているSystem Care Antivirus。そこでまず感染原因と対処方法についてもう一度記載していきたいと思います。
1、【概要】
このマルウェアは、scareware(スケアウェア)と呼ばれるもので、感染するとデスクトップ上に上記画像のようにセキュリティソフトのような画面が表示され、検出されたマルウェアを削除したければ製品を購入してくださいという警告画面を表示します。そして警告画面内をクリックしますと、偽ソフトの購入するために個人情報を入力するフィッシングサイトの画面へと誘導されるというわけです。
そしてさらにこのような偽ソフトは、感染させたPCのご利用者に何とか個人情報を入力させようと様々な手段を用いてきます。1例を挙げてみますと…、
1、PCの操作を妨害する(実行ファイルの起動阻止等)
2、PCのセキュリティ設定の無効化(OSのセキュリティレベルの無効化、インストールされているセキュリティソフトの起動阻止、駆除ツールの起動阻止等)
3、複合感染(トロイの木馬、ルートキット等のマルウェアの同時感染)
上記のような症状ですね。この症状は感染させられるマルウェアによって異なってきます。
しかし特に3の複合感染は、大変に脅威であり、このようなマルウェアの感染原因にも起因するものです。
2、【感染原因及び対策方法】
それではなぜこのようなマルウェアに感染するのでしょうか?当ブログにおいてはすでに何度も書いていますが、このマルウェアに感染する最大の原因は、脆弱性対策を怠ったことにあります。
お使いのPC内の脆弱性を放置することにより、webサイトのアクセス時に脆弱性を悪用され、マルウェアを強制感染させられるドライブバイダウンロード攻撃が感染原因なのです。
ドライブバイダウンロード攻撃については、上記の記事をご覧になって頂きたいと思います。
そしてこのドライブバイダウンロード攻撃による強制感染の1番の脅威は、どのようなマルウェアに感染させられるかわからないという点でしょうか。左記については今回のSystem Care Antivirusも例外ではありません。
それでは上記のようなwebサイトのアクセス時に悪用される脆弱性とは具体的には何でしょうか?以下に悪用されやすい代表的なものを挙げていきます。
1、Java関連プログラム
2、Adobe関連プログラム
この2つのアプリケーションは、特に脆弱性を悪用されやすいプログラムです。左記の2つのアプリケーションの脆弱性対策をしっかりと行えばかなりの確立でドライブバイダウンロード攻撃のリスクを低下させることが出来ると思います。
上記2つのアプリケーションを含めた脆弱性対策の実施方法については、道すがら講堂さんの上記の記事をご参考になさって頂きたいと思います。
3、【削除方法】
さてそれでは最後にここからは、「AVASoft Professional Antivirus」「System Care Antivirus」の削除方法について記載しておきたいと思います。
当ブログではこのマルウェアについて、ドライブバイダウンロード攻撃による複合感染のリスクを考慮し、リカバリをお勧めいたします。
その上でリカバリに至るまでの段階として、System Care Antivirusの起動停止及び除去の方法を記載いたしますのでご了解ください。
1、<セーフモード起動>
それではまず、感染したPCを再起動してセーフモードとネットワークで起動します。
BIOSの起動画面後(メーカーのロゴが表示される事が多い)から、Windowsロゴが表示される前のタイミングでF8キーを押します。
次に詳細ブートオプション画面でセーフモードとネットワークを選択しEnterキーを押します。
セーフモードとネットワークで起動したら、まずは隠しファイルを表示するの設定にします。
2、<駆除ツールのダウンロード>
隠しファイルの表示設定が終わりましたら、ブラウザを起動し、以下のツールをダウンロードしてデスクトップに保存してください。
ダウンロード後は上記のツールを実行してください。このツールは実行しますと、コマンド操作によってIEを立ち上げ各種ツールのダウンロードサイトにアクセスし、駆除ツールをダウンロード出来るというものです。詳細はツールに付属しているりーどみーをご参照してください。
3、<駆除ツールによるスキャン>
ここからは、いよいよマルウェアの除去作業に入ります。
まずはPCのデスクトップを見てください。System Care Antivirusの感染時に左記のマルウェアのショートカットが作成されているはずです。
そのショートカットにマウスカーソルを持ってきて右クリックし、プロパティを選択してください。
そうしますと上記のようなプロパティ画面が表示されますから、赤枠のファイルの場所を開くをクリックしてください。
そして表示された画面にSystem Care Antivirusの実行ファイルがありますから右クリックし、削除を選択してください。
【ワンポイントアドバイス】
実行ファイルが削除できない場合、削除を選択するのではなく、実行ファイルを右クリックし切り取りを選択し、デスクトップに移動してから貼り付けを選択して実行ファイルをデスクトップに移動させてみてください。左記の方法でも実行ファイルの起動を阻止することが出来ます
なおマルウェアの実行ファイルは、以下の場所にあるはずです。
>C:\ProgramData\ ( Windows Vista/7)
上記画像はSystem Care Antivirusの実行ファイルの1例です。
実行ファイルの削除が終了しましたら、3でダウンロードしたATF-cleanerを実行します。
【ワンポイントアドバイス】
どうしても実行ファイルの削除がうまくいかない場合、実行ファイルの削除は行わず、ATF-cleanerの実行から行うようにしてください。
起動画面よりまずはSelect Allにチェックを入れ、Empty Selectedをクリックしてください。
上記の画面が表示されましたら完了です。
次に、ダウンロードしたRkillを実行してください。黒い画面が表示されて作業が進行します。なおRkillは必ず実行するようにしてください。Rkillにはマルウェアによる悪性プロセスの停止以外にも、マルウェアによって設定された駆除ツールの起動妨害を修正する効果があります。
そして今度はMalwarebytes Anti-MalwareでPC全体をフルスキャンしていきます。なおMalwarebytes Anti-Malwareの使い方については、以下をご参照ください。
Malwarebytes Anti-Malwareの使い方について(改訂版)
そしてフルスキャン完了後は、PCを再起動して通常起動してください。
以上でSystem Care Antivirusについては削除完了です。
この後は必要なデータをバックアップし、リカバリに入ってください。リカバリすることで、お使いのPCを完全に回復させることが出来ます。
リカバリについてはお使いのPCの取扱説明書をご一読くださるようにお願いいたします。
さて最後に皆様、今後もSystem Care Antivirusの猛威は続くと予想されます。くれぐれも脆弱性対策を徹底するようにお願いいたします。
【スポンサーリンク】
あとがき
さて今回の投稿は以上となります。
今回の投稿で記載する記事以外のマルウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のマルウェアの対策方法に関連する記事のまとめを参照してください。
<マルウェアの対策方法に関連する記事のまとめ>
1、URL
それでは以上です。