セキュリティ企業の米ウェブセンスは2008年12月15日、セキュリティ対策ソフトと称するソフトウエアを売りつける新たな手口を確認したとして注意を呼びかけた。Googleで表示される広告から誘導することや、「押し売りサイト」に誘導するためのウイルスに感染させることなどが特徴。

 今回の手口の“入り口”となるのは、検索サイトGoogleの広告(スポンサーリンク)。有名なファイル圧縮ソフト「WinRAR」のダウンロードサイトに見せかけて、攻撃者のサイトに誘導しようとする(図1)。

 このスポンサーリンクをクリックすると、WinRARの偽ダウンロードサイトが開く。サイトの指示に従ってソフトウエアをダウンロードしてインストールすると、実際にWinRARがインストールされる。しかし同時に、「explore.exe」というファイル名のウイルスがインストールされる。

 このウイルスがインストールされると、ウイルスに感染したことが分かるように、怪しいダイアログを1分ごとに表示する(図2)。ダイアログにあるのは「interval hehehe」という不可解な文字列。その一方で、hostsファイルを改ざんし、ユーザーがGoogleやYahoo!といった有名サイトにアクセスしようとすると、攻撃者が用意した偽サイトに誘導されるように仕組む。

 ウイルスのダイアログを見たユーザーが、解決策を求めて検索サイトなどにアクセスしようとすると、改ざんされたhostsファイルにより、マイクロソフトのサイトに見せかけた攻撃者のサイトに誘導される。同サイトでは、「あなたのコンピューターはウイルスに感染しています」といった英文の表示とともに、「AntiSpyware」というソフトをダウンロードするように勧める(図3)。

 ユーザーが「Download AntiSpyware Now」のリンクをクリックすると、同ソフトの販売サイトへ誘導。同サイトでは「あなたのコンピューターは『interval hehehe』に攻撃されました」として、AntiSpywareの購入を勧める(図4)。

 ここで、指示通りにAntiSpywareを購入して実行すると、先にインストールされたウイルスは実際に駆除され、「interval hehehe」のダイアログなどは表示されなくなるという。ただし、このAntiSpywareは、“自作自演”のためのソフトウエアであり、機能が限定された「偽ソフト」の一種だと考えられる。

 ウェブセンスでは、今回のようにGoogleの広告から悪質サイトに誘導されるケースが依然存在するとして、改めて注意を呼びかけている。