2010年12月15日 12時00分ソフトウェア

ニセのハードディスク診断ツール「Win HDD」の詐欺手口を解説

「G Data Software」が公開した情報によると、偽の「システム診断ツール」は、最初に2010年10月に存在が確認され、これまで「システムデフラグメンター」「スキャンディスク」「チェックディスク」など、既にいくつかのバリエーションが登場しており、最も多いのは、サイトを表示させるだけでダウンロードさせてしまうというやり方。

そして、この偽装診断ツールの最新版がこの「Win HDD」。これまでに出現してきたウイルス対策ソフトを偽装したマルウェアと同様のもので、画面で表示されているのはあくまでもニセの動作画面。システムの不具合や問題点が指摘されますが、虚偽であり、実際には役に立たないソフトウェアを購入させるための道具に過ぎないものです。

というわけで、その手口を見てみましょう。知らなければ本気にしてしまうこともあり得るので、知っておけば損はありません。
偽システム診断ツール「WinHDD」にご注意を
http://gdata.co.jp/press/archives/2010/12/winhdd.htm

これがメイン画面。いかにもそれっぽい。

このツールがシステムスキャンをしているふりをしているところも公開されています。実にそれっぽい。

YouTube - Fake System Tool Win HDD - Installation and 'Scanning'

偽のデフラグと最適化が終わったあと、いくつかの問題が残され、これを解決するために、有料版を購入するよう勧められます。購入を希望する場合、購入サイトが表示されますが、このページをよくみると、URLのところが緑色であり、かつ、鍵のアイコンが右側に表示され、いかにも安全なサイトであるかのように見せかけているものの、そもそもURL自体が存在していません。さらに、ページの下部には、VeriSignなど安心感を与えるためのアイコンが並んでいますが、正しく機能するのは、支払いのために入力したメールアドレスやカード情報を奪いとる部分だけ。

大体こんな感じです。

YouTube - Fake System Tool Win HDD - Registration and Extended Download Service

さらにいかにもそれっぽくするため、「EDS」というニセの付加サービスもつけており、ダウンロードでソフトを購入する場合に追加金額を支払うと万が一ダウンロードしたソフトのファイルをなくしてしまったり、ハードディスクを初期化したあとにもう一度使いたいときに、もう一度ソフトウェアをダウンロードできるというもの。海外のソフト購入サイトではよくあるシステムです。また、ダウンロードリンクには、画像認証である「キャプチャ」のような入力画面が現れ、なお一層、本物のように見せているのも特徴です。実に凝っています。

今はまだ英語版だけですが、そのうちバージョンアップして画面を日本語にしたものが登場する可能性が高く、事前にこういう手口なのだということを知っておけばそれだけでも随分と違ってきます。

◆除去方法

除去する手順はG Dataセキュリティラボによると以下のような感じだそうです。

（1）デスクトップにある「Win HDD」のショートカットを右クリックし、「プロパティ」を選択。

（2）「プロパティ」画面に、「Win HDD」のランダムに生成された実行ファイルの名前を確認（例：「98f82f.exe」）。
（3）「Windowsタスクマネージャー」を「Ctrl+Alt+Del」で起動し、「プロセス」のタブを選択。
（4）「イメージ名」から、（2）で確認した実行ファイル名を探し出し、選択した後「プロセスの終了」のボタンをクリック。
（5）「Windowsタスクマネージャー」の画面を閉じる。
（6）ショートカットの「プロパティ」画面に戻り、「Find Target」をクリック（Explorerのウィンドウは自動的に開きます）。

（7）実行ファイル（デスクトップにあるショートカットと同じアイコン）を削除。Explorerウィンドウを閉じる。
（8）画面左下にある「スタート」ボタンをクリックし、「プログラムとファイルの検索」のウィンドウに「regedit」と入力し、レジストリエディターを起動。
（9）左側の一覧から「HKEY_CURRENT_USER」を探し「＋」をクリックし、「Software」の「＋」を同じようにクリック、さらに同様に「Microsoft」「Windows」「CurrentVersion」「Run」を表示。