ある課から「ぱそこんがうごかんくなった」との通報を受け、I君が回収してきたWindowsXPクライアントPCでは知らないアプリケーションが起動していた。
　「Security Essentials 2010」。
　Microsoft Security Essentialに似せようと努力してあるのかもしれないが、俺の目は誤魔化せない。

　「うごかんくなった」前後のオペレーションを聞くと、昨日どこかのWEBサイトを閲覧中に「ウイルスなんちゃら」の警告が表示されたので怖くなって電源を切った。今日電源を入れると最初から「えいごいっぱいのへんながめん」が出て操作できなくなったのだという。
　I君に当該PCに導入してあるウイルスバスターコーポレートエディションクライアントで検索を行うよう指示したところ、ウイルスバスターのメイン画面から検索開始後、しばらくして検索実行画面が消失。代わりにSecurity Essentials 2010のものと思われるセキュリティ脆弱性の警告ダイアログが表示された。こいつはユーザ側の何らかの操作や実行中のアプリケーションの表示動作をオーバレイして他にも様々な警告ダイアログや偽のセキュリティレポート画面を繰り返し表示してくる。
　表示上の挙動は昨年駆除対応したSecurity toolに類似したものだ。デザインなどはより洗練された印象がある。
　Security tool駆除でお世話になったMalwarebyte's AntiMalwareで検出を試みるためまずセーフモードで起動してみる。Security Essentials 2010本体は起動しないが、デスクトップの表示前に関連プログラムによるものと思われる偽の脆弱性警告ダイアログが表示される。もちろん、真ん中にあるOKボタンを押せば何らかの不正動作を呼ぶのは確実なので、普段は使うことのない右上の閉じるボタンで消しておく。
　http://fileforum.betanews.com/detail/Malwarebytes-AntiMalware/1186760019/1 から、Malwarebyte's AntiMalwareをダウンロード。7月23日時点ではVer1.46。
　AntiMalwareをセットアップ後にすぐUpdateを実行して、WindowsXPをシャットダウンし続けて通常起動。
　WindowsXPの起動が完了すると、プログラムグループへの新しいアプリケーションのインストールが報告された。感染時に処理されていたと思われるSecurity Essentials 2010へのショートカットが追加されたのだ。このショートカットはC:\Program files\Securityessentials2010\SE2010.exeへリンクされており、デスクトップにもショートカットアイコンが出現している。
　また、デスクトップアイコン以外に、感染直後からタスクトレイにもWindowsセキュリティ警告と類似した盾のアイコンが常駐を始めた。こちらはセーフモードでも起動してくるので、先程のセーフモード上での偽脆弱性警告ダイアログはこいつによるものだろう。このあたりもSecurity toolと酷似している。

　以下の手順を実施。
１．ウイルスバスターコーポレートエディションVer7.3で検索
（検索エンジンVer9.120.1004/ウイルスパターンファイル7.329.80 2010/07/21版）
　HTML_FAKEAL.SMDとTSPY_JORIK.Aが検出、隔離された。
　HTML_FAKEAL.SMD（http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML%5FFAKEAL%2ESMD&VSect=T）は感染時にSecurity Essentials 2010と同趣旨の偽の脆弱性警告ダイアログを表示するらしい。「FAKEAL」はFake Alartの略か。
２．Malwarebyte's AntiMalwareで検索
（インストール時プログラムVer1.46/当日アップデート後データベースVer ）
　Perform full scanを実行したところ、Objects Infected カウント45。これはひどい。

　以下に実行後のログを抜粋する。

Memory Processes Infected: 2
Memory Modules Infected: 1
Registry Keys Infected: 1
Registry Values Infected: 3
Registry Data Items Infected: 13
Folders Infected: 1
Files Infected: 23

Memory Processes Infected:
C:\Program Files\Securityessentials2010\SE2010.exe (Rogue.SecurityEssentials2010) -> No action taken.
C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> No action taken.

Memory Modules Infected:
C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> No action taken.

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\SE2010 (Rogue.Securityessentials2010) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security essentials 2010 (Rogue.SecurityEssentials2010) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> No action taken.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\winlogon32.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\winlogon32.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> No action taken.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\winlogon32.exe) Good: (userinit.exe) -> No action taken.

Folders Infected:
C:\Program Files\Securityessentials2010 (Rogue.SecurityEssentials2010) -> No action taken.

Files Infected:
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YLEHSFYH\exe[1].exe (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\28.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\34.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\39.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\3D.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\41.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\45.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\49.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\4D.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\~TM6F.tmp (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\~TMF.tmp (Trojan.Dropper) -> No action taken.
C:\Program Files\Securityessentials2010\SE2010.exe (Rogue.SecurityEssentials2010) -> No action taken.
C:\Documents and Settings\[ユーザ名]\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\[ユーザ名]\デスクトップ\Security essentials 2010.lnk (Rogue.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\デスクトップ\Security essentials 2010.lnk (Rogue.Agent) -> No action taken.
C:\Documents and Settings\[ユーザ名]\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> No action taken.
C:\Documents and Settings\[ユーザ名]\スタート メニュー\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\スタート メニュー\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> No action taken.
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> No action taken.
　（抜粋終了）
　そんなこんなで、別PCへHDDを移さず当該PC単独での駆除が一応終了。
　持ち込まれてから半日の作業となった。