WinFixer

WinFixer(ウィンフィクサー)とは、インターネット上で蔓延しているマルウェアの一種で、あたかもコンピュータ内の問題点を修正するかのごとく、合法を装って偽の警告を行う不審なプログラムのこと。WinAntiVirusもしくは、ErrorSafeとも呼ばれる。

また、同種のマルウェアにSystemDoctorDriveCleanerMySearchなどがあり、最近ではKyoiKanshi(脅威監視)やHadodoraiBugado(ハードドライブガード)という新種まで出ている。

概要

[編集]

このプログラムは、警告ダイアログ[1]を(主にポップアップで)表示し、ユーザのコンピュータがウイルススパイウェアといった有害なプログラム(マルウェア)に感染しているという偽の情報を流す。この表示でユーザを混乱させ、感染を信じさせた上で、このダイアログを通して強制的にユーザのコンピュータ内にインストールされる。また、ダイアログの他にも、ユーザに対して広告を表示するウィンドウを開き、コンピュータの調子が悪くなってしまったのだと納得させるような掲示を行ったり、誤った診断内容を表示したりする。

このような挙動から、WinFixerおよび類似のアプリケーションは、スパイウェアもしくはマルウェアであるとみなされている。ただし、こういった詐欺的ポップアップ表示とそれに伴う強制ダウンロードというのは、多くのスパイウェアに見られる常套手段である。また、このプログラムに感染すると、コンピュータの動作が重くなるといった被害を受けることがある。

WinFixerによるダイアログメッセージの例:

WinFixer 2005は、レジストリやドライブのエラーといったコンピュータ内のあらゆる問題をスキャンし、解決することができる便利なソフトウェア(ユーティリティ)です。このプログラムは、ハードディスクの断片化を解消したり、壊れてしまったワードエクセル、または音楽や映像といったファイルを修復する機能で、コンピュータシステムのパファーマンスや安定性を保証します。

WinFixerは、このような表示を行うが、実際には表示された行為を一切行わない。 (以下、翻訳中)

種類

[編集]

WinFixerには、下記の種類が存在し、その他にも複数の種類が存在していると思われる。

  • WinAntiSpyware
  • ErrorSafe
  • SystemDoctor
  • WinAntiVirusPro
  • DriveCleaner
  • KyoiKanshi
  • SpyAxe

感染経路

[編集]

コンピュータにWinFixerが感染する経路は複数存在するが、Internet Explorer(以下IE)を使用している場合に最も被害を受けやすい。Mozilla FirefoxOperaなどの他のブラウザである場合、IEよりは感染しにくいが、感染しないとは限らない。また、しばしば光学ドライブが停止することがある。

典型的な例(警告メッセージ)

[編集]

IEを使用してWebサイトを閲覧中、WinFixerをダウンロードさせようとするページ(必ずしもwinfixer.comでは無く、広告として組み込まれている場合が多い)にアクセスした場合に、Winfixerをインストールするように誘導するダイアログが表示される。

ユーザが「OK」ボタンを押したときだけでなく、「キャンセル」ボタンを押したとき、あるいはウインドウ右上の「×」ボタンを押してダイアログを閉じようとしたときでも、WinFixerは自身をダウンロードしてコンピュータ内部に侵入しようとする。

この警告ダイアログはIEのダイアログボックスであり、Windowsタスクのマネージャリストの中に現れない。 この場合、「Altキー+f4キー」(アクティブなウインドウを閉じる)のコマンドを使用するか、またはダイアログを閉じる前にインターネットから切断することにより、この問題を避けることができる。

体験版をインストールしてしまう

[編集]

無料体験版をインストールするように促すポップアップを見て、体験版をインストールしてしまう被害がしばしばある。

体験版をダウンロードして、インストールした場合、(実際にウイルスに感染していなくても)「(複数の)ウイルスが検出されました。隔離・駆除には製品版を購入してください」という趣旨のメッセージを出す。

しかし、実際にはこのプログラムはウイルススキャン自体をまったく行っていない。

WinFixerプログラムがインストールされた場合、アンチウイルスソフトウェアを使用しないと除去ができない(なかには、アンチウイルスソフトウェアの駆除処理を妨害するタイプのものも存在するので注意が必要である)。駆除するまでの間、スクリーン上に、(何もしていなくても)購入を求めるウインドウが現れる。

脚注

[編集]
  1. ^ Vundoというトロイの一種によるダイアログ表示で、一般的にSysProtectと呼称される。このトロイは、Sun Java1.4以前の脆弱性を利用するのが常套手段だが、必ずしもそうであるとは限らない(ActiveXもしばしば利用される)。

関連項目

[編集]

外部リンク

[編集]