複数のシステムアップデートが発生したとき、システムの知識やスキルがあまりないユーザーが、更新の際、時折してしまうことがありますが、どんなことだと思いますか?

多くの人が実際に更新内容を注意深く読んでいるのか?といえば、結局のところ、非常に曖昧にしか読んでいないと言えるでしょう。

そうこうしている間に、攻撃者は更新プロンプトを頻繁に偽造しようとします。

criticalupdate01.exe と名付けられたそのファイルはとても興味深いものでした...

どうやら、Windows Updateという名前は実行中のプロセスのリストにも表示され、ユーザーの疑惑を和らげるのにも役立つようです。

もちろん、Dr.Webの予防的保護 (Preventive Protection) は、複数のファイル操作を含む疑わしいアクティビティを検出しますが、まだ問題は残っています。予防的保護機能は、アプリケーションの動作を監視しますが、そのアプリケーションの目的を知らず、大量のファイルを上書きしているという動作が、必ずしも悪意のある動作であると確定できません。だからこそ、表示された警告に対し、この疑わしいプロセスを継続するのか、停止するのかを決めるのはユーザーの責任になります。

私たちが冒頭で上げた事案は無事解決できました。該当の事案に関しては誤った警告で正当な更新プログラムであったため、ユーザーは更新を再開しましたが、これがもし悪意のあるプログラムだったら状況は違っていたでしょう。

犯罪者にとっては、これが唯一しかけたトリックというわけではなく、更新ルーチンも危険にさらされている可能性があります。

悪意のあるプログラム Win32.HLLW.Flame.1 は、 man-in-the-middle 攻撃を実装してWindowsの更新を傍受しました。このような攻撃を行うために、トロイの木馬は、感染マシンがWebプロキシ自動検出プロトコルサーバーを偽装します。 ローカルネットワーク上のホストがMicrosoft Windows Updateサーバーに接続しようとすると、クエリは最初に漏洩したコンピューターに中継され、偽の悪質な更新プログラムがホストに返されます。 このトリックのおかげで、攻撃者は最新のアップデートがインストールされているシステムにさえ感染することができるようになりました。

マルウェアのひとつであるFlameのコンポーネントの1つ、 WuSetupV.exe には、マイクロソフトのデジタル署名が組み込まれており、ユーザーの確認なしに起動することができます。この問題に対処するために、MicrosoftはFlameがコードに署名するために使用していた一連の証明書を取り消すよう、セキュリティ更新プログラムをリリースしました。

ところで、この問題に関する情報を収集していたとき、私たちはこんな情報を見つけました。

どのマルウェアがこの受賞に影響を与えたのか、Googleで検索せずにあなたは推測できますか?