不正プロセス強制停止ツール「Rkill」 ＆ 偽セキュリティソフト

　「偽ウイルス対策ソフト」とか「偽セキュリティ対策ソフト」とも呼ばれます。英語だと「FakeAV」、「Fake Alert」、「Fake Antivirus」。

　このソフトが起動すると、いかにも正規のセキュリティ関連ソフトであるかのようなデザインを装ったウィンドウが立ち上がります。そして、パソコン内をウイルスチェックするシーンが高速で表示され、最終的に『○件のウイルスが見つかりました！』『重大な脅威が検知されました！』というような英語のダイアログが表示されます。（数は少ないですが日本語表記のものも確認されてます）

　それ以降は、ダイアログやポップアップを激しく表示して警告したり、デスクトップの壁紙を変更したり、偽のブルースクリーンを表示したり、パソコンを強制的に再起動したり・・・。とにかくありとあらゆる操作を妨害し、これを解消したかったら有償の”正規版”をレジスト（購入）するよう強要します。

• 深刻化する偽セキュリティ対策ソフトの被害！ （IPA 情報処理推進機構）
  http://www.ipa.go.jp/security/txt/2010/06outline.html

■ 目的はクレジットカードの情報
　実際のところ、ウイルス感染というはまったくのデタラメで、あせって購入画面で入力してしまったクレジットカードの情報や個人情報がそのまんま攻撃者に奪取されてしまう寸法です。この手の情報は、海外のブラックマーケットで転売できるため、実際に情報を送信してしまうと金銭的な実害が発生する可能性があります。

　多くが英語表記なので、情報を送信してしまう段階まで進む人は少ないでしょうが、仮に送信してしまったら被害を回避するためクレジットカードの会社にいち早く連絡（２４時間対応）して対処してもらう必要があります。個人情報はあきらめるしかありません。

■ 偽セキュリティソフトを感染させてお小遣い稼ぎ!?
　偽セキュリティソフトは、パソコンに感染させることに成功すると金銭を獲得できる「アフィリエイト活動」なんてのが海外のブラックマーケットで行われてるそうで、とんでもない量の種類や検体が毎日のように投入されてます。はっきり言って、有償製品とか無料版とか関係なく正規のセキュリティソフト・ウイルス対策ソフトの対応は追いついていない状況です。

　アフィリエイト活動を取り仕切ってる人、参加してる人々からすれば、正規のセキュリティソフト・ウイルス対策ソフトが対応してしまってはお金儲けに支障をきたすので、対応が追いつけないよう量産体制を行ってます。

• 偽のウイルス対策ソフトによる感染被害が拡大 （McAfee Labs Blog）
  http://www.mcafee.com/japan/security/mcafee_labs/blog/scareware-danger.asp

　いざ偽セキュリティソフトが立ち上がると、駆除が試みられることまで想定した激しい妨害が行なわれるので、ほとんど何もできなくなります。そこで登場するのが「Rkill」です。

　「Rkill」（アール・キル）は、Windowsパソコン上で動いてる不審なプログラムを強制停止させるDOSプログラムです。公式サイトはなく、ユーザー同士のパソコン関連お助けサイト「Bleeping Computer」（ブリーピング・コンピュータ、bleepingcomputer.com）のフォーラム内で公開されてます。作者は Lawrence 'Grinler' Abrams さん。

　「Rkill」は偽セキュリティソフトを駆除する機能はありません。あくまでプログラムを停止させるだけなので、『パソコンに偽セキュリティソフトが居ついたままだけど起動してない状態』になります。パソコンを再起動すれば、偽セキュリティソフトがギャーギャーわめく状態へと再び戻るので、感染している偽セキュリティソフトは自前で駆除したり、駆除ツールを使う必要があります。

■ Rkill のダウンロード
　「Rkill」のダウンロードリンクには、「RKill.com Download Link」「RKill.exe Download Link」「RKill.scr Download Link」・・・などがありますが、拡張子が違うだけですべて同一ファイルです。というのも、「Rkill」はこの手の偽セキュリティソフトの作者にも当然知られてるので、駆除されるのを妨害するため「rkill」というファイル名に反応して実行阻止するものが存在します。

　実際に利用する時は、ダウンロードした後にファイル名の部分を何でもいいでのテキトーな文字の羅列に変更してください。ダウンロードリンクにはファイル名をわざと変更してある「eXplorer.exe Download Link」「iExplore.exe Download Link」なんてのも用意されてます。

■ Rkill を起動させるタイミング
　偽セキュリティソフトの多くは、あらゆるプログラムの起動を妨害しようとします。「Rkill」のファイルをダブルクリックして実行しようにも阻止されてしまい何度も挑戦する必要があるかもしれません。うまく「Rkill」を起動させるタイミングは、偽セキュリティソフト自体のメインウィンドウと異なる何かしらのダイアログが表示された瞬間（すきを狙う）に行うことだそうです。

　偽セキュリティソフトにはたくさんの種類があるので、それぞれ挙動も違います。単にギャーギャーわめくだけのものもあれば、レジストリやWindowsの設定の改変してしまうあるので、唯一無二の駆除方法というのはありませんが、だいたは下のような駆除手段が考えられます。

• Windowsをセーフモードで起動して無料駆除ソフトでスキャン
  ⇒ セーフモードなら偽セキュリティソフトも起動してない状態なので通常は駆除可能
  ⇒ 偽セキュリティソフトによってはセーフモードへの移行すらままならない強者あり
• 偽セキュリティソフトを「Rkill」で強制停止させた後に無料駆除ソフトでスキャン
  ⇒ 偽セキュリティソフトによっては激しい妨害で強制停止がままならない強者あり
• Windowsのシステムの復元機能を利用してパソコンを感染以前の状態に戻す
  ⇒ 事前に復元機能を有効しておいて復元ポイントを作成しておく必要あり
  ⇒ 偽セキュリティソフトによっては復元機能を無効にする強者あり
  ⇒ 復元後にパソコンンの動作に問題が起こる場合あり
• システムのリカバリ（初期化）しパソコン購入時点の状態にする
  ⇒ 日常的なバックアップが必要な最終手段

■ 駆除方法の見つけ方
　フォーラム内にて「Rkill」が公開されてる海外サイト「Bleeping Computer」は、偽セキュリティソフトの駆除方法を指南してるサイトとしても有名です。下のようなキーワードでGoogle検索すると、英語の説明になりますが、「Remove ○○○○○ (Uninstall Guide) 」というタイトルで情報がヒットします。また、「My Anti Spyware」というサイトも有用です。

site:www.bleepingcomputer.com/virus-removal/ [偽セキュリティソフトの名前]

site:www.myantispyware.com/ [偽セキュリティソフトの名前]

　また、単に偽セキュリティソフトの名前をキーワードにGoogle検索すると、過去に被害を受けた日本人による日本語の情報がヒットする場合もあります。（Yahoo!知恵袋やOKWaveの質問サイト、個人のブログなど）

■ 偽セキュリティソフトの駆除ソフト
　偽セキュリティソフトの駆除・削除に対応してるものも含まれる実行ファイル単体の駆除ソフトです。ウイルス定義データを自身で内蔵してるので、正常なパソコンで入手してきたものをUSBメモリに書き込んで、問題のあるパソコンへと持っていくことも可能です。 （⇒ インストール不要ウイルス駆除ソフト）

■ タスクマネージャー互換プロセス停止ツール
　Windowsのタスクマネージャーと互換があるプロセス停止ツールです。 （⇒ Kill Process 紹介記事）

• 素性の知らない不審なファイルを起動してしまった？
• 知らないうちにインストールされていた？ ⇒ ドライブバイ･ダウンロード

１. 普通の一般サイトに「あなたのパソコンがウイルス感染してる！」という”広告”が・・・
　広告（英語だったり日本語だったり）を思わずクリックすると、ブラウザ上ではパソコンをスキャンしてるかのようなシーンが出現し、ウイルスに感染してると警告→駆除ツールのダウンロードを促されます。（右図）

　もちろん、これはデタラメです。アクセスした誰もがウイルスに感染してると警告されます。導入を促される駆除ツールそのものが偽セキュリティソフトです。海外の普通の正規サイトにそういう広告が出稿されていたり、過去には動画サイト「YouTube」や米国ニュースサイト「New York Times」で表示されていたこともあります。

２. メールの添付ファイルやメール内の本文中のリンク
　いわゆる迷惑メールです。偽セキュリティソフトをダウンロードさせる実行ファイルや不正なPDFファイルが添付されてる、あるいはメール本文中に偽セキュリティソフトをダウンロードさせる誘導リンクが書かれてます。メールの内容は、興味をそそられる有名人・芸能人のゴシップネタ、大事件の真相ネタ、エッチな映像・画像が見れるとそそのかすようなもの、文章はいっさいなくURLアドレスだけ、有名な企業（Yahoo!、Amazon、PayPal、銀行系、オンラインゲーム・・・）を名乗った偽メールなどなど、人間の隙を突いて”うっかりクリックさせる”スタイルです。

　このような場合はちゃんと対策をしてないとPDFファイルを開く、あるいはリンクを踏むだけで強制的に不正なプログラムが発動し感染してしまうこともあります。

３. 普通の個人サイト・企業サイトのページを見たら不正ページに誘導 《最近多し！》
　昔は「怪しいサイト・エッチなサイトに行かなければ安全」なんてことが言われてましたが、今はもう違います。普通の一般サイトに不正なデータが埋め込まれたことで、単に訪問しただけで強制的に不正なページへと誘導されてしまいウイルスに感染してしまう事例が頻発してます。

　これはサイトを管理してる人のパソコンがウイルスに感染し、ページの更新に利用してるアカウント情報（パスワード）を盗まれ改ざんされてしまったため。

　特に2009年以降、ほんとに一部の人しか知らない個人が趣味で運営してるサイトから、テレビCMでも見かけ誰もが知ってる超有名企業のサイト、公的機関のサイトが被害にあってます。ブラウザのブックマーク（お気に入り）に登録してるサイトが明日も安全なサイトであるという保障はいっさいありません。

４. いつの間にやらインストールされデスクトップにアイコンができていた 《最近多し！》
　ここ最近多いのが、知らないうちにデスクトップに偽セキュリティソフトのアイコンが作成されたり、パソコンを起動した直後から騒ぎ出すものです。変なサイトに行ってないのに、いつの間にやら知らないうちに勝手にインストール（感染）された状態ですが、これは「ドライブバイ・ダウンロード」という手法で簡単に実現できます。

　原因は不正なプログラムの発動に悪用されるソフトウェアをちゃんと最新版に更新してないパソコンです。こちらの無料でできるドライブバイ・ダウンロード対策を事前にちゃんとやっておけばこの手の被害はありません。もしこの手に陥落してしまったとしたら、攻撃者が事実上をパソコンを乗っ取ることも可能な状態だった言えるので、偽セキュリティソフト以外にも不正なプログラムが侵入していたり、パソコン内の情報が抜かれている恐れもあります。