2009年01月25日 - autorun.inf - ウイルス対策とUSB接続機器の安全な利用法
USBメモリや外付けハードディスク、リムーバブルメディアを媒介したウイルス感染について、相談される機会が急増している。
自分はいかなる保証もできないし、100%の確実性をもって掲載するのではない点をご容赦願いたい。
わずかな(時には大きな)環境の違いが、挙動や動作 - そして感染するか否かを左右するからだ。
多くの例外があり、ユーザーの数だけ不安定な要素がある。
「次回も同じ動作」としたためとか、あるソフトウェアをインストールしたために対策パッチがとか、USB接続機器なのに他のデバイスとして認識されるとか。そういった理由なのかな。
US-CERT Vulnerability Note VU#889747 の日本語訳(葉っぱ日記)やVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)をあわせて読んでもらいたい。
感染したパソコンには、新たにautorun.infと実行形式ファイルが作成され、汚染されたメディアが続々と生産されるだろう。
感染後にはリムーバブルメディア中のマルウェアをパソコンにコピーする。
最近流行しているものは、新たな複数の実行形式ファイルなどを作成して汚染したり、ネット経由で新たなマルウェアをダウンロードする。
対処を困難にさせる活動として、パソコンの動作を極端に重くさせて何もできない状態に貶め、特定ファイルをルートキットで隠蔽、レジストリを操作し(更には設定変更後に自動的に修復前の状態に戻して!)ファイルを隠蔽させる。
だが自分としては、正直言ってあまり推奨できない。
1) XP向けのMicrosoft「Windows XP 用の更新プログラム (KB950582)」の導入は、確実な対策とはならない。
(あくまでも自分の体験談に過ぎないが)個体差があり、Windows XP SP2では2台に効果が無かった。またXP SP3では3台全てに効果が無かった。
2) グループポリシーはXP Professionalでは有効であった、だがホームユーザー向けのWindows XP Home Editionでは使えない。
3) NoDriveTypeAutoRunの設定は、不完全であるとのレポートもある。
そう言えばメディアのタイプをWindowsは(何故か)たまに間違って識別する場合があるが、どうなるんだろうか。
はせがわ氏が和訳をVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)に掲載しており、面白いのでじっくりと読んでもらいたい。
この方法はUSBメモリだけではなく、USB接続のハードディスクや、CD-ROM、SDカードなどのautorun.infまでをも無効化する。
前述のKB 953252と根本的に違うのは、前者がWindows OSに新たなデバイスを接続した際の挙動を制御する目的であるのに対して、これはautorun.infそのものを無効化するという点であり、方向性が全く違う。
元記事で記載されているレジストリ操作を自動化するバッチファイルを作成した。
XPとVista各バージョン・SPの20台以上でテストし、有効に機能するのを確認している。だが他のWindows OSでは試していないため、いかなる責任もとれない。
autorunstopよりダウンロードして利用してもらいたい。
具体的には以下の2つのレジストリエントリを操作する。
利用する前には、XPとVISTAではシステムの復元機能から復元ポイントを作成し。重要なファイルはバックアップし。各自の責任で実行してもらいたい。
ただし、autorun.infを利用するCD-ROMやDVDでは、自動実行(自動再生)機能が無効になるから、これまで通りの利用はできなくなるのが欠点。
例として、CD-ROMを開いて、setup.exeとかinstall.exeを直接ダブルクリックして起動しなければならなくなるし。
またフォトCDでは、CD-ROMを開いてhtmlファイルを手動で開かねばならないだろう。
(CD-Rなどのトラップも防げるだろう!とポジティブシンキングしてほしい)
パソコンに接続したり、マイコンピュータを開きドライブをクリックして実感してもらいたい。

USBメモリーは可能であれば未使用のものを利用してくれ。
(autoruntest.zipとしてアップロードしておいた)
autorun.infは、以下の内容とする。
autoruntest.batは、以下の内容とする。
autorun.infについての詳細はAutorun.inf Entries (Microsoft)を読んでもらいたい。
open=hbs.exeは、メディアをパソコンに接続した時の自動再生機能により、hbs.exeを実行させるものだ。
よくShiftキーを押しっぱなしにすれば回避できると言われるが、実はそのような風説は正確ではない。細かい点については後述する。
shell\open、これはマイコンピュータを開き、USBリムーバブルメディアのアイコンをダブルクリックした時点で実行される。
XPとVISTAでは、USBメモリーを開いただけで感染する可能性がある
マイコンピュータを開き、リムーバブルメディアを開いて。。。。。。これだけで感染してしまうケースだ。
笑えない話として、感染しているか確認するため数十のUSBメモリーキーを開きまくって、感染規模が拡大したケースがあった。
自分が依頼された多くの駆除作業の実感としては、openではなく shell\open、こちらがメジャーな感染タイミングとなっている感触がある。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)なる記事があったので、引用して紹介する。
他にも、ウイルス騒動(Okumura's Blog)などで同種の報告があるようだ。
Shiftキーを押せば自動実行をブロックできるとのアドバイスは適切ではない。
Windows XPでは、openコマンド(接続時に稼動)はUSB接続機器では実行されない。だからShiftキーを押しても意味が無い。
またWindows VISTAでは、openコマンド(接続時に稼動)はUSB接続機器で実行される。だがShiftキーによるキャンセルが効かないのだ。
だが、Microsoft Updateを行い最新の状態にすると、autorun.infは無効化されるものと無効化されないパソコンがある。
理由はわからない。
MountPoints2絡みなんだろうか。それともメディアタイプ(画像、プログラム、その他)?
ノートパソコンのスロットにSDカードを接続。。。。。感染、と。
興味深い話があったので、紹介する。
自分の管理外のパソコンに接続するには、そのような製品を選べば「お土産」をもらってくる心配は無いだろう。
是非とも1つ購入してもらいたいと熱く薦める
余談として、店頭で販売されているUSBメモリーキーとしては、buffalo(メルコ)の製品以外にはライトプロテクト機能が無かったのには驚いた。
Knightウイルス感染でUSBメモリが開けない(LucaBlog, 2007年12月24日)
警視庁のネットワークで感染拡大したW32.Downadup.B(Symantec)のように、LANの共有リソースをクラックして感染拡大するものもある。
Microsoftによるアドバイザリは、例外 - つまり期待された設定通りにいかない事例が多々見受けられる。
The Dangers of Windows AutoRun (CERT)のように、Autorun.infそのものを無効化する手法が有用。
正直な話として、エンドユーザーごとの環境の違いにより、ここまで動作が異なるともうお手上げ。
自分はいかなる保証もできないし、100%の確実性をもって掲載するのではない点をご容赦願いたい。
わずかな(時には大きな)環境の違いが、挙動や動作 - そして感染するか否かを左右するからだ。
USB機器経由感染について
USB機器経由感染とWindows OSの挙動
最近流行しているタイプとOSごとの違いを簡単に説明する。- Windows XP
- 1)USB機器を接続しただけでは感染はしない
- (個人サポートで接続しただけと訴える例があったが、検証できていない)
- 2)マイコンピュータを開きダブルクリックして開くと感染する
- Windows VISTA
- 1)設定によっては、USB機器を接続しただけで感染
- Shiftキーによる自動実行キャンセルは効果が無い
- 2)マイコンピュータを開きダブルクリックして開くと感染する
- Microsoft Updateを行い最新の状態にすると、自動実行が無効化される(例外あり?)
多くの例外があり、ユーザーの数だけ不安定な要素がある。
「次回も同じ動作」としたためとか、あるソフトウェアをインストールしたために対策パッチがとか、USB接続機器なのに他のデバイスとして認識されるとか。そういった理由なのかな。
US-CERT Vulnerability Note VU#889747 の日本語訳(葉っぱ日記)やVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)をあわせて読んでもらいたい。
感染活動の概要
リムーバブルメディアのルートディレクトリ中に作成されるautorun.infと、それにより自動実行される実行形式ファイルの組み合わせにより、感染活動が行われる。感染したパソコンには、新たにautorun.infと実行形式ファイルが作成され、汚染されたメディアが続々と生産されるだろう。
感染後にはリムーバブルメディア中のマルウェアをパソコンにコピーする。
最近流行しているものは、新たな複数の実行形式ファイルなどを作成して汚染したり、ネット経由で新たなマルウェアをダウンロードする。
対処を困難にさせる活動として、パソコンの動作を極端に重くさせて何もできない状態に貶め、特定ファイルをルートキットで隠蔽、レジストリを操作し(更には設定変更後に自動的に修復前の状態に戻して!)ファイルを隠蔽させる。
autorun.inf - 自動実行を予防する、具体的な対策について
KB 953252 - Microsoftによるガイドは不完全?
Windows で強制"無効"に自動実行レジストリ キーを修正する方法(Microsoft)には幾つかの方法が掲載されている。だが自分としては、正直言ってあまり推奨できない。
1) XP向けのMicrosoft「Windows XP 用の更新プログラム (KB950582)」の導入は、確実な対策とはならない。
(あくまでも自分の体験談に過ぎないが)個体差があり、Windows XP SP2では2台に効果が無かった。またXP SP3では3台全てに効果が無かった。
2) グループポリシーはXP Professionalでは有効であった、だがホームユーザー向けのWindows XP Home Editionでは使えない。
3) NoDriveTypeAutoRunの設定は、不完全であるとのレポートもある。
また、NoDriveTypeAutorunのレジストリの値を「0xFF」にしても、ユーザーがWindows Explorerでデバイスのアイコンをクリックすれば、任意のコードが実行されることがあるとしている。 機能するやり方を:「MSのAutorun無効化方法は不適切」とUS-CERTが指摘(ITmedia)原文はMicrosoft Windows Does Not Disable AutoRun Properly(US-CERT)
そう言えばメディアのタイプをWindowsは(何故か)たまに間違って識別する場合があるが、どうなるんだろうか。
Autorun.infを完全に無効化する - XPとVISTA向けガイド
The Dangers of Windows AutoRun (CERT)に掲載されている内容より。はせがわ氏が和訳をVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)に掲載しており、面白いのでじっくりと読んでもらいたい。
この方法はUSBメモリだけではなく、USB接続のハードディスクや、CD-ROM、SDカードなどのautorun.infまでをも無効化する。
前述のKB 953252と根本的に違うのは、前者がWindows OSに新たなデバイスを接続した際の挙動を制御する目的であるのに対して、これはautorun.infそのものを無効化するという点であり、方向性が全く違う。
元記事で記載されているレジストリ操作を自動化するバッチファイルを作成した。
XPとVista各バージョン・SPの20台以上でテストし、有効に機能するのを確認している。だが他のWindows OSでは試していないため、いかなる責任もとれない。
autorunstopよりダウンロードして利用してもらいたい。
具体的には以下の2つのレジストリエントリを操作する。
利用する前には、XPとVISTAではシステムの復元機能から復元ポイントを作成し。重要なファイルはバックアップし。各自の責任で実行してもらいたい。
ただし、autorun.infを利用するCD-ROMやDVDでは、自動実行(自動再生)機能が無効になるから、これまで通りの利用はできなくなるのが欠点。
例として、CD-ROMを開いて、setup.exeとかinstall.exeを直接ダブルクリックして起動しなければならなくなるし。
またフォトCDでは、CD-ROMを開いてhtmlファイルを手動で開かねばならないだろう。
(CD-Rなどのトラップも防げるだろう!とポジティブシンキングしてほしい)
autorun.inf - リムーバブルメディアでの感染を再現して体験する
メモ帳(notepad)を起動し、autorun.infとautoruntest.batの名称で保存し、USBメモリーキー中に入れ。パソコンに接続したり、マイコンピュータを開きドライブをクリックして実感してもらいたい。

USBメモリーは可能であれば未使用のものを利用してくれ。
(autoruntest.zipとしてアップロードしておいた)
autorun.infは、以下の内容とする。
autoruntest.batは、以下の内容とする。
autorun.infの自動実行(自動再生)について詳しく
autorun.infと自動再生、自動実行
先日捕獲した検体のautorun.infより、検出避け目的のコメント行(セミコロンが行頭にある行)などを除いて転載する。autorun.infについての詳細はAutorun.inf Entries (Microsoft)を読んでもらいたい。
open=hbs.exeは、メディアをパソコンに接続した時の自動再生機能により、hbs.exeを実行させるものだ。
よくShiftキーを押しっぱなしにすれば回避できると言われるが、実はそのような風説は正確ではない。細かい点については後述する。
shell\open、これはマイコンピュータを開き、USBリムーバブルメディアのアイコンをダブルクリックした時点で実行される。
XPとVISTAでは、USBメモリーを開いただけで感染する可能性がある
マイコンピュータを開き、リムーバブルメディアを開いて。。。。。。これだけで感染してしまうケースだ。
笑えない話として、感染しているか確認するため数十のUSBメモリーキーを開きまくって、感染規模が拡大したケースがあった。
自分が依頼された多くの駆除作業の実感としては、openではなく shell\open、こちらがメジャーな感染タイミングとなっている感触がある。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)なる記事があったので、引用して紹介する。
「shellコマンド」はドライブのダブルクリックや右クリックメニューなどをトリガーにしてファイルを自動実行させるものです。
例えば、Windows XPの環境ではCDメディアのみに 「Autorun.inf」内の「openコマンド」が有効になります。つまりWindows XPでは、USBメモリを挿した時点で表示されるダイアログ中に「openコマンド」にあたる選択肢がなく(図6)、この時点で感染することはありません。しかし、「Autorun.inf」内の「shellコマンド」は有効となるため、マイコンピュータ内のドライブアイコンをダブルクリックするとウイルスが呼ばれ感染してしまいます。
一方Windows Vistaでは「Autorun.inf」内の「openコマンド」による有効範囲がCDメディアに加えUSBメモリまで拡大されました。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)
他にも、ウイルス騒動(Okumura's Blog)などで同種の報告があるようだ。
Shift(シフト)キーを押しながら接続すれば安全なのか? - openコマンドに関する問題
Shiftキーを押したはずなのに感染したと、先日相談された。Shiftキーを押せば自動実行をブロックできるとのアドバイスは適切ではない。
Windows XPでは、openコマンド(接続時に稼動)はUSB接続機器では実行されない。だからShiftキーを押しても意味が無い。
例えば、Windows XPの環境ではCDメディアのみに 「Autorun.inf」内の「openコマンド」が有効になります。つまりWindows XPでは、USBメモリを挿した時点で表示されるダイアログ中に「openコマンド」にあたる選択肢がなく(図6)、この時点で感染することはありません。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)
またWindows VISTAでは、openコマンド(接続時に稼動)はUSB接続機器で実行される。だがShiftキーによるキャンセルが効かないのだ。
Windows XP と違って、Shift キーを押しても自動再生を無視できないのはなぜですか。
自動再生の設計は変更されました。現在は、既定の設定に関係なく、Shift キーを押し続けると自動再生が開きます。
自動再生 よく寄せられる質問(Microsoft)
VISTAの不思議
インストール直後ではUSBメモリーのautorun.infにより実行される。だが、Microsoft Updateを行い最新の状態にすると、autorun.infは無効化されるものと無効化されないパソコンがある。
理由はわからない。
MountPoints2絡みなんだろうか。それともメディアタイプ(画像、プログラム、その他)?
USB接続機器だけじゃない - SDカードなども感染源になる
USBメモリーキーはともかく。デジカメ用の記録メディアはさほど注意は払われないのではなかろうか。「忘年会の画像が欲しいー」「いいよぉー」と。ノートパソコンのスロットにSDカードを接続。。。。。感染、と。
興味深い話があったので、紹介する。
東京・JR立川駅北口にある家電量販店「ビックカメラ立川店」で、デジタルカメラの写真プリント注文機がコンピューターウイルスに感染し、利用者の持ち込んだメモリーカードにも感染が広がっていたことがわかった
(中略)
感染していたのは写真プリント注文機「オーダーキャッチャー」の1台で、画像が記録されたメモリーカードを同機に差し込むことで感染して拡大していく「ワーム型」と呼ばれるウイルスが確認された。
asahi.com via 思いもかけぬ場所での感染 - tomcatの落書き帳 part-4
リムーバブルメディアのライトプロテクト
USBメモリーやSDカードには、ライトプロテクト - つまり書き込み禁止のスイッチがある製品がある。自分の管理外のパソコンに接続するには、そのような製品を選べば「お土産」をもらってくる心配は無いだろう。
是非とも1つ購入してもらいたいと熱く薦める
余談として、店頭で販売されているUSBメモリーキーとしては、buffalo(メルコ)の製品以外にはライトプロテクト機能が無かったのには驚いた。
関連記事
USBメモリ経由で感染するウイルスの、一瞬でできる簡易診断方法(Semplice, 2008年12月27日)Knightウイルス感染でUSBメモリが開けない(LucaBlog, 2007年12月24日)
Conclusion
感染源はUSB接続機器だけではなく、SDカードや、感染中に作成されたCD-Rといった経路もある。警視庁のネットワークで感染拡大したW32.Downadup.B(Symantec)のように、LANの共有リソースをクラックして感染拡大するものもある。
Microsoftによるアドバイザリは、例外 - つまり期待された設定通りにいかない事例が多々見受けられる。
The Dangers of Windows AutoRun (CERT)のように、Autorun.infそのものを無効化する手法が有用。
正直な話として、エンドユーザーごとの環境の違いにより、ここまで動作が異なるともうお手上げ。
更新履歴
2009年2月11日、リムーバブルメディア(removable media)と記載すべき部分をリムーバルメディア(removal media)と記載していた10箇所を修正。凡ミスとはいえ投稿時には気を抜いてはならないと決意する。指摘してくれた方に大変感謝。Posted by Luca at 20:11
│
Comments(12)
│
TrackBack(1)
2008年12月27日 - USBメモリ経由で感染するウイルスの、一瞬でできる簡易診断方法
どれが感染しているのかわからない、疑心暗鬼
ここ数ヶ月、USBメモリーキーや外付けハードディスクより感染するウイルスに対する関心が高まっている。
W32.Gammima.AG(Symantec)などだ。
これらは感染しているパソコンに接続したリムーバブルメディア中に、実行形式ファイルと、自動実行させるためのautorun.infを作成する。
感染したリムーバブルメディアを接続したパソコンは、自動実行機能で感染。
あっという間に部署内が汚染され、どのパソコン・またUSBメモリーキーが汚染されているのかわからない、難儀な状況に陥る。
事態の収拾が難しいのは、ウイルス対策ソフトウェアでは検出できない変種が多く、またダウンローダーとして機能し他のマルウェアを勝手に導入するタイプがある点だ。
このブログエントリは当初、特定タイプのマルウェアの事例に対して、ウイルス対策ソフトウェアが導入されていない・または検出できない事例を想定して記載したものでありますが。
幾つかの新しい検体に接したため、随時追記・修正するものである。
ウイルス対策ソフトウェアのログ
単純に、ウイルス対策ソフトウェアの検出ログファイルを閲覧すればよい。
フォルダオプションの挙動よりチェック
1)コントロールパネルのフォルダオプションより、もしくはどこか適当なフォルダを開いてメニューの「ツール」を開いてフォルダオプションを選択。
2)「表示」タブより、「ファイルとフォルダの表示」を探す。
3)「隠しファイルおよび隠しフォルダを表示しない」から「すべてのファイルとフォルダを表示する」にチェックを入れ替える。
4)「OK」を押して閉じる。
5)もう一度開く。
6)感染していると、設定の変更が勝手に操作され、「隠しファイルおよび隠しフォルダを表示しない」に戻される。

ただし、例外もある。
ウイルス対策ソフトウェアが一部のファイルのみを削除した後に、フォルダオプションの設定改変効果は解除できたとしても、新たに接続したUSB接続機器への新規感染活動が継続する事例があった。
ライトプロテクトをかけたUSB機器を接続する
先日駆除作業をしたパソコンの話。
USB接続機器には書き込みを禁止させるスイッチ(ライトプロテクト)機能がある製品がある。
感染中のパソコンにライトプロテクトをかけたUSBメモリーを接続したら、さ。
XXX.exeが何度も何度もUSBメモリーに書き込みを行おうとし・失敗するダイアログが表示され、どうしたものかと悩んでしまった。
状況にもよるんだろうけど。
簡易的な検出方法として、有効な気がする。
集団感染時に有効な、感染パソコンの容易な診断 - ダミーフォルダ法
リムーバブルメディアとCドライブのルート(c:\直下)に作成される実行形式ファイルは通常は非可視となるが、駆除作業の最中に明らかになるだろう。
ここまでくれば、ダミーフォルダ法(dummy folder method)を利用すると、容易に感染パソコンを特定できる。
ウイルス対策ソフトウェアにより検出されない場合に、数十台の感染確認を急ぎ行う必要がある場合におすすめ。
(複数の感染経路より入り込んでいるケースでは、漏れが生じる可能性はある)
以下の操作はそれぞれ自己責任で行ってもらいたい。
- Cドライブ直下に、実行形式ファイルと同じ名称のフォルダを作成する。
- Cドライブ直下に、autorun.infの名称のフォルダを作成する。
- 作成でき、可視ならば、そのパソコンは感染していない(可能性がある)。
- 警告ダイアログが出て、フォルダを作成・またはリネームできないなら、感染中。
- 以前は可視だったダミーフォルダが非可視になっていたら、いつの間にか感染した
作成しようとしたフォルダと同名のファイルが既にそのディレクトリに存在するならば、「ファイルまたはフォルダ名の変更エラー 新しいフォルダの名前を変更できません。指定されたファイル名は既に存在します。別の名前を指定してください。」という警告ダイアログが表示される。

(*クリックで拡大)
注意として、何故か作成したフォルダが削除できなくなったパソコンが1台あった。理由は不明。
また「以前は可視だったダミーフォルダが非可視になっていたら、いつの間にか感染した」は、作成時には感染していなかったのだが、その後の感染後に隠蔽工作の対象とすべきファイルと間違え、ダミーフォルダが非可視とされた例である。
例外として
直接ルートドライブ直下にautorun.infは作成するが、そこから呼び出す実行形式ファイルは直接ルートドライブ直下ではない場合がある。
例として)
E:\autorun.inf
E:\recycle\example.exe
上記はFakeRecycled(McAFEE)のような機能を搭載したタイプである。
ウイルス対策ソフトウェアによる不十分な対処
ウイルス対策ソフトウェアによっては、USB接続機器のルート直下に存在するautorun.infを削除し、予防的な対処を行うものがある。
この場合はautorun.infは消失しており、他のパソコンにてはautorun.infという名称のフォルダを作成できるケースもあった。
ダミーフォルダ法(dummy folder method)
ファイルをファイルで上書きすることはできても、ファイルを同名のフォルダで上書きはできない。
この方法で、特定の場所に非可視ファイルの存在を確認できる(ルートキット感染時にも有効な場合がある)。
応用として、特定の場所に特定の名称のファイルが作成できなくなるように、その名称のフォルダを事前に設置しておくこともできる。
駆除はやや面倒
これまで自分が扱ったうち、未知のマルウェアを勝手に複数インストールしてくれた1台はリカバリー、残りは手動またはERD Commanderにて削除に成功した。
駆除方法について記載されている秀逸なサイトがあるので紹介する。作成されるファイルがrevo.exe、revo0.dll、revo1.dll、klif.sys、uu.exe、hbs.exeのタイプであれば、おそらく下記サイトの方法で修復できるだろう。
REVO(revo.exe) 駆除方法(PC玉手箱)
【MEMO】W32.Gammima.AG(SunWorship)
C:\WINDOWS\system32\drivers\klif.sysは、ウイルス対策ソフトウェアによるスキャンで除去する方がベター(名称が必ずしもこれとは限らないから)。多分、起動時スキャンで検出されると思う。
余談として
Filemonで挙動を調べると、同じファイルを何度もDELETE、CREATE、WRITEと繰り返し、ファイルの削除と再作成を繰り返している。
どうやら感染後にやたらと動作が重い理由は、このためらしい。
またウイルス対策ソフトウェアによりUSBメモリーキーの処理が不十分なまま終了すると、利用に支障をきたす可能性がある。
(一部のウイルス対策ソフトウェアは、autorun.infの削除は行わないため)
Knightウイルス感染でUSBメモリが開けない(LucaBlog, 2007年12月24日)
更新履歴
2009年1月21日追記
2009年2月4日、FakeRecycled(McAFEE)タイプについてと、autorun.infのみが削除された事例と、ライトプロテクト処理済みUSB接続機器について追記した。
2009年2月11日、リムーバブルメディア(removable media)と記載すべき部分をリムーバルメディア(removal media)と記載していた3箇所を修正。うぁ、恥だ。
Posted by Luca at 10:46
│
Comments(31)
│
TrackBack(1)
2007年10月28日 - WinAntiVirus Pro 2007は、mediaplex.comに不審なIDを送信する
インチキなソフトウェアとして著名なWinAntiVirus Proの新バージョン2007は、ハードウェア環境より取得し作成したIDを送信し、Windows OS固有のシステムファイルをマルウェアとして検出する。
要点だけ読みたい方は、末尾のConclusionを。
旧バージョンのWinAntiVirus Pro 2006は、日本人を積極的にターゲッティングしたために多くの被害者が生じた。これが国内における事実上の「Bogusware、Rogueware、インチキソフトウェア、または偽セキュリティソフト元年」である。
具体的な手口としては虚偽のスパイウェア警告より悪質サイトへ誘導し、「ブラックウォーム」なるものに感染していると騙す手口により被害が拡大した。他のマルウェアにより導入される事例もあるようだが、自分は十分には把握しきれていない。
初回のテストは2007年6月に行い、2007年9月8日より追試を行った。
テストに用いたのはVirtualPCのゲストOSで、Windows XP HomeEdition SP2日本語版インストール直後の状態である。
「誤検知」の可能性を防ぐ目的で、余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。この状態で「ウイルス、スパイウェア」が検出されるなどまず有りえない環境である。
今回供試したインストーラーファイルは、以下のものである。
WinAntiVirusPro2007FreeInstall_jp.exe
size=92368byte
CRC16=D5F3
CRC32=35C4BE67
MD5=523ad13c04b60a8bd89a3477efb8ba31
またプロパティのバージョン情報より、ファイルバージョン:1.3.96.1、製品バージョン:5.0.322.0の記載を確認した。
インストーラーファイルをダブルクリックした直後に、このような表示が出る。

既にこの時点で、adfarm.mediaplex.comとulog.jp.winantivirus.comに接続し、不審なIDを送信している。
GET /ad/bk/7412-39614-2054-4?install=1&mpuid=37457196xx HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: adfarm.mediaplex.com
Cache-Control: no-cache
GET /?action=1&type=exe&pc_id=37457196xx&abbr=UWA7PS_0001_N96M0206&err=err0_line0_lerr0_num1_try1_prev0 HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: ulog.jp.winantivirus.com
Cache-Control: no-cache
id=37457196xx(後ろ2文字は伏字とした)は、VirtualPCの同一バーチャルマシンであれば、何度インストール操作を試みても同一となる。
思いつきでVirtualPCのゲストドライブにおけるアダプタアドレス(MACアドレス)を一文字だけ変更してみると、勝手に送信されるIDは「15530177xx」に変わった。
アダプタアドレスより(またはその他の情報を併用し)何らかの方法でIDを作成し、送信しているようだ。
(インストールが完了すると作成されるファイル、C:\Program Files\WinAntiVirus Pro 2007\sr.logファイル中には、以下のログが1行記載されており、インストーラーがアダプタアドレス(MACアドレス)より作成したIDが保存される。)
http://ulog.jp.winantivirus.com/?action=23&abbr=UWA7PS_0001_322.1&pc_id=15530177xx&aid=keyin&lid=keyin&affid=keyin&cnt=&lng=
インストーラーファイルをダブルクリックした直後にadfarm.mediaplex.comにユニーク性が高いidを送信し、その結果としてトラッキングクッキーが作成される。
FileMonのログでは、トラッキングクッキーを作成するのはInternet Explorerではなく、WinAntiVirusProのインストーラーファイルである。
(FileMonのIncludeにて「CREATE」とただ登録して監視し発見した)

(*クリックで拡大)
SetされるCookieは「username@mediaplex.com/」だ、Domain属性はadfarm.mediaplex.comではない。
インストール直前の段階で、RegMonのログを眺めて不思議な点に気付いたのだが。
WinAntiVirusProは言語の設定やIEやネットワークの設定程度ならばともかく、必要以上のレジストリを何故か漁っているような気がする。
一例として「HKCU\Software\Opera Software」、もちろんOperaは導入していないためNOT FOUNDとなるのだが、違和感を感じる。
インストール中に裏ではadfarm.mediaplex.com、ulog.jp.winantivirus.comとdownload.cdn.winsoftware.com、trial.updates.winsoftware.comへ通信している。
インストール直後に行われるスキャンにては、脅威名:Trojan.Win32.DelAll.q、脅威の種類:Trojanが検出される。
これはWindows OSに元々備わっているC:\WINDOWS\system32.deldrv.exeを検出したものだ、もちろんトロイの木馬などではない。
この時点でのバージョン情報は、5.0.322.1である。
シグニチャファイルと推察されるC:\Program Files\WinAntiVirus Pro 2007\AWBase\database\enemies.datなるファイルは11.0 MB (11,559,869 バイト)だ。
アプリケーションアップデート、データベースアップデートを行いOSを再起動したが、プログラムのバージョンもenemies.datも変化が無かった。
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)、Claria Corporation(旧称:Gator Corporation)のGain入りであるPrecision TimeのAd-Support無料版(http://www.precision-time.com/)を準備した。
4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
インストーラーファイルをスキャンさせたが何も検出されなかった。
Alexa Toolbar、HotBar、ClariaのGatorはインストール操作中にリアルタイムスキャンにより検出された。
3721の場合、1ファイルがインストール中に検出され、その後に「ウイルス警報 あなたのセキュリティが突破されました!」なんて物騒なダイアログが出る。
その後にクイックスキャンではなく通常スキャンを実行。
「警告!!16重大な感染検出!!」と表示される。
世間にはファイルの名称のみをチェックしているBogus wareも存在する。中身が空であってもスパイウェアとして検出するようなものだ。WinAntiVirus Pro 2007ではどうだろうか?
GatorのBIC_GatorPT.exe(以前Precision Timeをインストールした際に作成されたファイルを保存しておいたもの)をコピーしようとすると、リアルタイムスキャン?によりAdware.Gator.6200.A382として警告が出た。
BIC_GatorPT.exeをCドライブ直下にコピーして貼り付け。再起動直後のインスタントスキャンまたは通常スキャンにてAdware.Gator.6200.A382として検出された。
C:\Program Files\直下に新規作成したテキストファイルをBIC_GatorPT.exeの名称にリネームした空ファイルを作成し設置しておいたが通常スキャンでもダブルクリックしても検出されなかった。
更には、他のソフトウェアで実行形式ファイル単体で動作するものをBIC_GatorPT.exeにリネームしたが、検出対象とはならなかった。
Cドライブ直下に「virus」と名づけたフォルダを作成し、Happy99.exe、notepad.exe(QAZ)、whatever.exe(Aliz)、marburg.scr(marburg)の4ファイルを設置。
かなり古いウイルスを供したのは、主たる目的が「ウイルスの検出能力があるのか否か」を検証する目的であるからだ。
通常スキャンの結果、いずれのファイルもウイルスとして検出できた。
またフォルダごとコンテキストメニューにてスキャンしても、4つとも検出できた。

(*クリックで拡大)
余談となるが、DelAllとはかつてWhiterなどと呼ばれたカテゴリのマルウェアであり、WinMXなどのファイル交換サービスを利用しているユーザーをターゲットとして広まった、ハードディスク中のファイルを上書きして消して復旧不能とするマルウェアを指すと推察される。
元々Windowsに備わっているdeldrv.exeなるファイルを誤検出の対象とした理由は、マルウェアの名称のDel(削除)にかけたものなのだろう。

(表示サイズの都合で空白部を詰めて加工した)
VirtualPCのゲストOSをセーフモードで起動。
Trojan.Win32.DelAll.qとして検出されるC:\WINDOWS\system32\deldrv.exeを予め削除しておく。
ウイルスではないのに誤検出されるシステムファイルを、事前に消して挙動を観察するためだ。
ゲストOSを再起動、今度は通常起動とする。
この状態でWinAntiVirusPro2007FreeInstall_jp.exeをダブルクリックしてインストールし、クイックスキャンが始まった。
「ウイルスが見つかりませんでした!」との表示。少なくともファイルの有無は確認しているらしい。

不思議な事に、deldrv.exeをデスクトップにコピーしてコンテキストメニューより個別にスキャンしても検出されないのに、C:\WINDOWS\system32中のdeldrv.exeを同様にスキャンするとTrojan.Win32.DelAll.qとして検出されるのだ。
(ちなみにいずれの場所であってもダブルクリック時には検出されない)
この結果には多少困惑した。Gatorは場所を問わず検出されたのにと。
2007年6月セキュリティホール memoにて掲載されていたURI、http://jp.winantivirus.com/download/2007/よりダウンロードを試みた。
2007年9月7日にダウンロードしたインストーラーファイルも同一であった。
「WinAntiVirusはウィルスの検索ために全体スキャンをおこなっています。」なのだそうだ。
実際にオンラインスキャンをしているように装うこの表示は呆れる。リロードする度に「検出された脅威」が毎回異なる数字になるのは手抜きだ。

(*クリックで拡大)
アドウェア類をテストした結果、元々WindowsOSに備わっているファイルを誤検出したTrojan.Win32.DelAll.qを除く15例に限定すれば、一応はアドウェア類をスキャンし検出できた。
またGatorによるテストの結果、名称のみで判断しているのではなく、またファイルの場所はどこでも関係無いらしい。
既存の偽ソフトウェア類の幾つかはファイルの名称のみで検出し、テキストファイルをリネームしただけの空ファイルであっても検出する事例があるのに比較すれば、まだ良心的だ。
対照的に、Windows OSに備わっているシステムファイルC:\WINDOWS\system32\deldrv.exeに対しては、全く異なる挙動を示す。
「Trojan.Win32.DelAll.q」と虚偽のレポートが表示される点のみが不審なのではない。
Gatorやウイルス類は場所を問わずどのディレクトリ中であっても検出される。これに対してdeldrv.exeはデスクトップや他の場所では何も検出されず、system32フォルダ中でなければ虚偽の検出レポートが表示されないのだ。
Cookieそのものはスパイウェアではない、だがハードウェアの情報より取得した値を無断で送信する際に同時にSetするCookieは、スパイウェアとしての活動と判断されてもさほど乖離は無いのでは。
大体、ハードウェアより取得したハッシュ値なんて外部に送信しなければならない理由が存在するのかと
送信されるIDとアダプタアドレスは桁数は異なり、16進法表記ではない。
だがアダプタアドレスは(普通は)同一のマシンは存在しないし。
一部を取り出して加工しユーザー識別の用途に供したとしても、コリジョンの可能性が極めて低いIDであるならば、接続元のIPアドレスまたはアドレスブロックの情報を併用すれば、十分にユーザー及びマシンの識別は容易なのではと。
WinAntiVirusProのインストーラーが表示した「続行」を押さずライセンス契約も承諾していないにも関わらず、勝手にユニーク性が高いIDを外部に真っ先に送信するのは、あまりにも不審である。
注視すべきは、Cookieの送信先であるMediaPlexは、WinFixer系のbogus wareと不思議と密接な関わりがある企業である。WinAntiVirusProシリーズもWinFixer系アプリケーションである。
一例としてMcAfee SiteAdvisor の Web 安全性評価では、ErrorSafeFreeInstall2_de.exe がhttp://img-cdn.mediaplex.com/(以下略)にて配布されていると報告されている。
MediaPlexは一応は、大手の広告代理店ではあるものの、裏の顔があるのだろうか。
EULA(使用許諾説明書)は http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007 より閲覧可能。
自分はこれまで幾つかのいかがわしいソフトウェアを踏んできたが、Internet Explorerの信頼済みサイトゾーンに登録するようなソフトウェアは、マルウェアやJWordを除けば、あまり例を知らない。
(ネット上にはJWordが「サイトを閲覧しただけで再感染した!」との事例が多々報告されているが、信頼済みサイトゾーンに登録されたのが理由と推察される)
WinSoftware Inc.がWindowsの脆弱性を利用するような悪質な罠ページを設置していたらば、Internet Exploreは信頼済みサイトゾーンたる基準が甘い部類にて判断するために、多くの危険なスクリプトが実行されてしまう可能性がある。
今回のテストにては、信頼済みサイトゾーンへの無断登録は確認できなかった。
検索エンジンにて「\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\winantivirus.com」を検索すると、幾つかの質問掲示板などに報告事例があるのだが、どうも他のマルウェアによる可能性が排除できないし、呼び水となるダウンローダー系マルウェアを発見できなかった。
そのためこれ以上の言及を避ける。
(信頼済みサイトゾーンへの登録については、IE-SPYADと制限付きサイト(Semplice, 2005年10月03日)と、JWordが勝手に・無断でインストールされる理由と経路の謎(Semplice, 2006年8月29日)参照のこと)
偽セキュリティソフトによる、動作しているふり、とは?(Lucablog, 2007年10月21日)
スパイウェアとみなす基準と、固有ID送信(LucaBlog, 2007年9月22日)
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係 (LucaBlog, 2007年9月15日)
彼らは1年ほどで1億5000万ドル以上も稼いだ - 詐欺ソフトウェアの販売(Semplice, 2007年3月11日)
偽ソフトウェアを機能面でなく、社会学的理由で注意喚起を促しても良いのでは(Semplice, 2007年1月16日)
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法(Semplice, 2006年4月15日)
WinFixer 2005による脅迫は自作自演(Semplice, 2006年1月21日)
Bogus wareとRogue ware、インチキソフト(Semplice, 2005年10月18日)
要点だけ読みたい方は、末尾のConclusionを。
旧バージョンのWinAntiVirus Pro 2006は、日本人を積極的にターゲッティングしたために多くの被害者が生じた。これが国内における事実上の「Bogusware、Rogueware、インチキソフトウェア、または偽セキュリティソフト元年」である。
具体的な手口としては虚偽のスパイウェア警告より悪質サイトへ誘導し、「ブラックウォーム」なるものに感染していると騙す手口により被害が拡大した。他のマルウェアにより導入される事例もあるようだが、自分は十分には把握しきれていない。
WinAntiVirus Pro 2007を導入する
初回のテストは2007年6月に行い、2007年9月8日より追試を行った。
テスト機の概要
テストに用いたのはVirtualPCのゲストOSで、Windows XP HomeEdition SP2日本語版インストール直後の状態である。
「誤検知」の可能性を防ぐ目的で、余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。この状態で「ウイルス、スパイウェア」が検出されるなどまず有りえない環境である。
WinAntivirus Pro 2007をインストールする
今回供試したインストーラーファイルは、以下のものである。
WinAntiVirusPro2007FreeInstall_jp.exe
size=92368byte
CRC16=D5F3
CRC32=35C4BE67
MD5=523ad13c04b60a8bd89a3477efb8ba31
またプロパティのバージョン情報より、ファイルバージョン:1.3.96.1、製品バージョン:5.0.322.0の記載を確認した。
インストール前に、パソコン固有の情報を抜き取られ外部に送信されている
インストーラーファイルをダブルクリックした直後に、このような表示が出る。

既にこの時点で、adfarm.mediaplex.comとulog.jp.winantivirus.comに接続し、不審なIDを送信している。
GET /ad/bk/7412-39614-2054-4?install=1&mpuid=37457196xx HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: adfarm.mediaplex.com
Cache-Control: no-cache
GET /?action=1&type=exe&pc_id=37457196xx&abbr=UWA7PS_0001_N96M0206&err=err0_line0_lerr0_num1_try1_prev0 HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: ulog.jp.winantivirus.com
Cache-Control: no-cache
id=37457196xx(後ろ2文字は伏字とした)は、VirtualPCの同一バーチャルマシンであれば、何度インストール操作を試みても同一となる。
思いつきでVirtualPCのゲストドライブにおけるアダプタアドレス(MACアドレス)を一文字だけ変更してみると、勝手に送信されるIDは「15530177xx」に変わった。
アダプタアドレスより(またはその他の情報を併用し)何らかの方法でIDを作成し、送信しているようだ。
(インストールが完了すると作成されるファイル、C:\Program Files\WinAntiVirus Pro 2007\sr.logファイル中には、以下のログが1行記載されており、インストーラーがアダプタアドレス(MACアドレス)より作成したIDが保存される。)
http://ulog.jp.winantivirus.com/?action=23&abbr=UWA7PS_0001_322.1&pc_id=15530177xx&aid=keyin&lid=keyin&affid=keyin&cnt=&lng=
MediaPlexのトラッキングクッキーが設置される
インストーラーファイルをダブルクリックした直後にadfarm.mediaplex.comにユニーク性が高いidを送信し、その結果としてトラッキングクッキーが作成される。
FileMonのログでは、トラッキングクッキーを作成するのはInternet Explorerではなく、WinAntiVirusProのインストーラーファイルである。
(FileMonのIncludeにて「CREATE」とただ登録して監視し発見した)

(*クリックで拡大)
SetされるCookieは「username@mediaplex.com/」だ、Domain属性はadfarm.mediaplex.comではない。
レジストリを漁る、インストーラー
インストール直前の段階で、RegMonのログを眺めて不思議な点に気付いたのだが。
WinAntiVirusProは言語の設定やIEやネットワークの設定程度ならばともかく、必要以上のレジストリを何故か漁っているような気がする。
一例として「HKCU\Software\Opera Software」、もちろんOperaは導入していないためNOT FOUNDとなるのだが、違和感を感じる。
続行をクリックし、インストール直後
インストール中に裏ではadfarm.mediaplex.com、ulog.jp.winantivirus.comとdownload.cdn.winsoftware.com、trial.updates.winsoftware.comへ通信している。
インストール直後に行われるスキャンにては、脅威名:Trojan.Win32.DelAll.q、脅威の種類:Trojanが検出される。
これはWindows OSに元々備わっているC:\WINDOWS\system32.deldrv.exeを検出したものだ、もちろんトロイの木馬などではない。
アップデート
この時点でのバージョン情報は、5.0.322.1である。
シグニチャファイルと推察されるC:\Program Files\WinAntiVirus Pro 2007\AWBase\database\enemies.datなるファイルは11.0 MB (11,559,869 バイト)だ。
アプリケーションアップデート、データベースアップデートを行いOSを再起動したが、プログラムのバージョンもenemies.datも変化が無かった。
WinAntiVirus Pro 2007のスパイウェア、ウイルス検出力
アドウェアを検出できるのか?
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)、Claria Corporation(旧称:Gator Corporation)のGain入りであるPrecision TimeのAd-Support無料版(http://www.precision-time.com/)を準備した。
4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
インストーラーファイルをスキャンさせたが何も検出されなかった。
Alexa Toolbar、HotBar、ClariaのGatorはインストール操作中にリアルタイムスキャンにより検出された。
3721の場合、1ファイルがインストール中に検出され、その後に「ウイルス警報 あなたのセキュリティが突破されました!」なんて物騒なダイアログが出る。
その後にクイックスキャンではなく通常スキャンを実行。
「警告!!16重大な感染検出!!」と表示される。
Gatorではファイルの名前のみで判断しているのではなかった
世間にはファイルの名称のみをチェックしているBogus wareも存在する。中身が空であってもスパイウェアとして検出するようなものだ。WinAntiVirus Pro 2007ではどうだろうか?
GatorのBIC_GatorPT.exe(以前Precision Timeをインストールした際に作成されたファイルを保存しておいたもの)をコピーしようとすると、リアルタイムスキャン?によりAdware.Gator.6200.A382として警告が出た。
BIC_GatorPT.exeをCドライブ直下にコピーして貼り付け。再起動直後のインスタントスキャンまたは通常スキャンにてAdware.Gator.6200.A382として検出された。
C:\Program Files\直下に新規作成したテキストファイルをBIC_GatorPT.exeの名称にリネームした空ファイルを作成し設置しておいたが通常スキャンでもダブルクリックしても検出されなかった。
更には、他のソフトウェアで実行形式ファイル単体で動作するものをBIC_GatorPT.exeにリネームしたが、検出対象とはならなかった。
ウイルスを検出できるのか?
Cドライブ直下に「virus」と名づけたフォルダを作成し、Happy99.exe、notepad.exe(QAZ)、whatever.exe(Aliz)、marburg.scr(marburg)の4ファイルを設置。
かなり古いウイルスを供したのは、主たる目的が「ウイルスの検出能力があるのか否か」を検証する目的であるからだ。
通常スキャンの結果、いずれのファイルもウイルスとして検出できた。
またフォルダごとコンテキストメニューにてスキャンしても、4つとも検出できた。

(*クリックで拡大)
Trojan.Win32.DelAll.qの誤検出の謎
余談となるが、DelAllとはかつてWhiterなどと呼ばれたカテゴリのマルウェアであり、WinMXなどのファイル交換サービスを利用しているユーザーをターゲットとして広まった、ハードディスク中のファイルを上書きして消して復旧不能とするマルウェアを指すと推察される。
元々Windowsに備わっているdeldrv.exeなるファイルを誤検出の対象とした理由は、マルウェアの名称のDel(削除)にかけたものなのだろう。
(表示サイズの都合で空白部を詰めて加工した)
VirtualPCのゲストOSをセーフモードで起動。
Trojan.Win32.DelAll.qとして検出されるC:\WINDOWS\system32\deldrv.exeを予め削除しておく。
ウイルスではないのに誤検出されるシステムファイルを、事前に消して挙動を観察するためだ。
ゲストOSを再起動、今度は通常起動とする。
この状態でWinAntiVirusPro2007FreeInstall_jp.exeをダブルクリックしてインストールし、クイックスキャンが始まった。
「ウイルスが見つかりませんでした!」との表示。少なくともファイルの有無は確認しているらしい。

不思議な事に、deldrv.exeをデスクトップにコピーしてコンテキストメニューより個別にスキャンしても検出されないのに、C:\WINDOWS\system32中のdeldrv.exeを同様にスキャンするとTrojan.Win32.DelAll.qとして検出されるのだ。
(ちなみにいずれの場所であってもダブルクリック時には検出されない)
この結果には多少困惑した。Gatorは場所を問わず検出されたのにと。
Discussion - WinAntiVirus Pro 2007の不審さ
WinAntivirus Pro 2007の配布サイト、winantivirus.comのおかしさ
2007年6月セキュリティホール memoにて掲載されていたURI、http://jp.winantivirus.com/download/2007/よりダウンロードを試みた。
2007年9月7日にダウンロードしたインストーラーファイルも同一であった。
「WinAntiVirusはウィルスの検索ために全体スキャンをおこなっています。」なのだそうだ。
実際にオンラインスキャンをしているように装うこの表示は呆れる。リロードする度に「検出された脅威」が毎回異なる数字になるのは手抜きだ。

(*クリックで拡大)
インストール後のマルウェア検出力と、虚偽のレポート
アドウェア類をテストした結果、元々WindowsOSに備わっているファイルを誤検出したTrojan.Win32.DelAll.qを除く15例に限定すれば、一応はアドウェア類をスキャンし検出できた。
またGatorによるテストの結果、名称のみで判断しているのではなく、またファイルの場所はどこでも関係無いらしい。
既存の偽ソフトウェア類の幾つかはファイルの名称のみで検出し、テキストファイルをリネームしただけの空ファイルであっても検出する事例があるのに比較すれば、まだ良心的だ。
対照的に、Windows OSに備わっているシステムファイルC:\WINDOWS\system32\deldrv.exeに対しては、全く異なる挙動を示す。
「Trojan.Win32.DelAll.q」と虚偽のレポートが表示される点のみが不審なのではない。
Gatorやウイルス類は場所を問わずどのディレクトリ中であっても検出される。これに対してdeldrv.exeはデスクトップや他の場所では何も検出されず、system32フォルダ中でなければ虚偽の検出レポートが表示されないのだ。
ハードウェアの情報を元に作成したIDの無断送信
WinAntiVirusPro 2007はインストール時に、インストーラーがmediaplex.comにidを送信しcookieを作成する。
idは桁数が少ないものの機種固有の値が設定されたユニークなものであると推察され、接続元IPアドレスと共に記録すれば消費者を監視するには十分なものであり、mediaplexのトラッキングクッキーと組み合わせればより悪質なトラッキング行為やユーザーの監視が可能であろう。
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係(LucaBlog)
Cookieそのものはスパイウェアではない、だがハードウェアの情報より取得した値を無断で送信する際に同時にSetするCookieは、スパイウェアとしての活動と判断されてもさほど乖離は無いのでは。
大体、ハードウェアより取得したハッシュ値なんて外部に送信しなければならない理由が存在するのかと
送信されるIDとアダプタアドレスは桁数は異なり、16進法表記ではない。
だがアダプタアドレスは(普通は)同一のマシンは存在しないし。
一部を取り出して加工しユーザー識別の用途に供したとしても、コリジョンの可能性が極めて低いIDであるならば、接続元のIPアドレスまたはアドレスブロックの情報を併用すれば、十分にユーザー及びマシンの識別は容易なのではと。
WinAntiVirusProのインストーラーが表示した「続行」を押さずライセンス契約も承諾していないにも関わらず、勝手にユニーク性が高いIDを外部に真っ先に送信するのは、あまりにも不審である。
注視すべきは、Cookieの送信先であるMediaPlexは、WinFixer系のbogus wareと不思議と密接な関わりがある企業である。WinAntiVirusProシリーズもWinFixer系アプリケーションである。
一例としてMcAfee SiteAdvisor の Web 安全性評価では、ErrorSafeFreeInstall2_de.exe がhttp://img-cdn.mediaplex.com/(以下略)にて配布されていると報告されている。
MediaPlexは一応は、大手の広告代理店ではあるものの、裏の顔があるのだろうか。
ライセンス契約の不思議 - 信頼済みサイト登録はやり過ぎで、異常
EULA(使用許諾説明書)は http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007 より閲覧可能。
WinAntiVirus Pro 2007により、WinSoftware Inc.のサイトがインターネットエクスプローラーの信頼済みサイトとして追加されます。
「WinAntiVirus Pro 2007 - license.html(http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007)」
自分はこれまで幾つかのいかがわしいソフトウェアを踏んできたが、Internet Explorerの信頼済みサイトゾーンに登録するようなソフトウェアは、マルウェアやJWordを除けば、あまり例を知らない。
(ネット上にはJWordが「サイトを閲覧しただけで再感染した!」との事例が多々報告されているが、信頼済みサイトゾーンに登録されたのが理由と推察される)
WinSoftware Inc.がWindowsの脆弱性を利用するような悪質な罠ページを設置していたらば、Internet Exploreは信頼済みサイトゾーンたる基準が甘い部類にて判断するために、多くの危険なスクリプトが実行されてしまう可能性がある。
今回のテストにては、信頼済みサイトゾーンへの無断登録は確認できなかった。
検索エンジンにて「\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\winantivirus.com」を検索すると、幾つかの質問掲示板などに報告事例があるのだが、どうも他のマルウェアによる可能性が排除できないし、呼び水となるダウンローダー系マルウェアを発見できなかった。
そのためこれ以上の言及を避ける。
(信頼済みサイトゾーンへの登録については、IE-SPYADと制限付きサイト(Semplice, 2005年10月03日)と、JWordが勝手に・無断でインストールされる理由と経路の謎(Semplice, 2006年8月29日)参照のこと)
Conclusion
- WinAntiVirus Pro 2007のインストーラーファイルは実行直後に、許諾も得ずに不審な活動を行う
- 大手広告代理店MediaPlex社にハードウェアより取得したハッシュを送信し、Cookieをセットする。
- インストール直前の時点で、必要以上のレジストリエントリへアクセスする(例としてOpera)。
- 大手広告代理店MediaPlex社にハードウェアより取得したハッシュを送信し、Cookieをセットする。
- WinAntiVirus Pro 2007のマルウェア検出力は、変
- シグニチャファイルが大きすぎる - 何処の情報を元にして作成したのか?
- アドウェア、ウイルスなどを検出可能で、最低レベルの市販製品とある意味で遜色は無い。
- 検出対象ファイルはリネームし場所を変更しても検出される、つまり「ファイルの名称のみをチェックするのではなく、中身をチェックしている」。
- Trojan.Win32.DelAll.qとして誤検出されるWindowsのシステムファイルであるdeldrv.exeは、\system32フォルダ以外の場所に移動しスキャンすると検出されない。
- シグニチャファイルが大きすぎる - 何処の情報を元にして作成したのか?
- EULA(使用許諾説明書)には信頼済みサイトゾーンへの登録を明記しているが、今回は確認できなかった。
- 海外の質問掲示板にては、winantivirus.comが登録されてしまっている事例が多く存在するが、他のマルウェアとの複合感染に起因する可能性を否定しきれない。
- 海外の質問掲示板にては、winantivirus.comが登録されてしまっている事例が多く存在するが、他のマルウェアとの複合感染に起因する可能性を否定しきれない。
関連記事
偽セキュリティソフトによる、動作しているふり、とは?(Lucablog, 2007年10月21日)
スパイウェアとみなす基準と、固有ID送信(LucaBlog, 2007年9月22日)
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係 (LucaBlog, 2007年9月15日)
彼らは1年ほどで1億5000万ドル以上も稼いだ - 詐欺ソフトウェアの販売(Semplice, 2007年3月11日)
偽ソフトウェアを機能面でなく、社会学的理由で注意喚起を促しても良いのでは(Semplice, 2007年1月16日)
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法(Semplice, 2006年4月15日)
WinFixer 2005による脅迫は自作自演(Semplice, 2006年1月21日)
Bogus wareとRogue ware、インチキソフト(Semplice, 2005年10月18日)
Posted by Luca at 11:25
│
Comments(8)
│
TrackBack(0)
2007年10月20日 - パスワード付きzip書庫形式圧縮ファイル中のマルウェア
マルウェア含むパスワード付きZip圧縮ファイルをメールに添付する手口は、検出回避としては現在ポピュラーな手口の一つである。
パスワードが無ければ開けないzipファイルならば、アンチウイルスソフトウェアではzipファイルの中身をスキャンできないだろうと期待するのだろう。
具体例としてパスワードを記載したgif画像ファイルと、パスワード付きのzipファイルを送りつける例がある。
ウイルス対策ソフトウェアでは検出できない?実際にはそうでもないようだ。
もちろん、場合によりけりなのだろう。
2007年10月19日、簡単なテストを行った。
eicar.comとHappy99.exeを準備し、それぞれをフォルダに格納。
圧縮解凍ソフトウェアとして著名なLhaplusにより書庫形式のzipファイルを作成した。圧縮率の設定は標準である。
zipファイルはそれぞれ、パスワードが必要なものと、パスワード不用のものを作成。
VirusTotalに放り込んで、結果を観察。

*1:error - password-protexted file
*2:Password-protexted-EXE
理解に苦しむのだが、パスワードを知らなければ開けないzip圧縮ファイル中のマルウェアであっても、一部の製品は検出できた。
だがPassword付きzipファイルでeicar.comを検出できたのはAuthentium・F-Prot・Normanの3つであったものの、Happy99.exeを検出できたのはNormanだけであった(W32/Ska.a@m)。
Norman Virus Controlをインストールし、最新の状態にアップデートした。
19日にVirusTotalにて供試したファイルを、コンテキストメニューよりスキャン。
手動スキャンの結果、4ファイルとも検知できた。

圧縮ファイルのスキャンができない製品もあり、また圧縮の回数(同じファイルを幾度も圧縮した場合)によっては正常に解凍できずにスキャンをスキップする製品もあるだろう。
更にはVirusTotalの結果は実際にウイルス対策ソフトを導入したスキャンの結果をどこまで正しく反映しているのかとの点には、疑問はありますが。
本題ではないのでこの場では議論の対象としては扱わない。
パスワード付き圧縮ファイル中のマルウェアは検出できないと誤解していたのだが、一部のソフトウェアはeicar.com及びskaを検出できた。
だが、どのような仕組みにより検出されるのだろうか?不思議。
今回気にかかった点として、パスワード付きzipファイルのスキャン結果として、VirusTotalにて「何も検出されなかった」ように表示された点だ。
全ての製品を実際にインストールして試したのではないが、「パスワードで保護されたファイルなのでスキャンできなかった」と知らせるのがよりユーザーにとって役立ち親切な仕様なのではなかろうか。
コメントにて指摘がありNorman Virus Controlを再度試したところ、パスワードにより結果が異なった。
Happy99.exe入りフォルダ「Happy99」を、それぞれ1-4の名称のフォルダ中にコピー。格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出。
その他zipファイルはThe archive is encrypted and can not be handledとなった。
パスワードが1桁の数字であれば、Norman Virus Controlはパスワード付きzipファイルの中身を精査できるようだ。
パスワードが無ければ開けないzipファイルならば、アンチウイルスソフトウェアではzipファイルの中身をスキャンできないだろうと期待するのだろう。
具体例としてパスワードを記載したgif画像ファイルと、パスワード付きのzipファイルを送りつける例がある。
ウイルス対策ソフトウェアでは検出できない?実際にはそうでもないようだ。
もちろん、場合によりけりなのだろう。
2007年10月19日、簡単なテストを行った。
eicar.comとHappy99.exeを準備し、それぞれをフォルダに格納。
圧縮解凍ソフトウェアとして著名なLhaplusにより書庫形式のzipファイルを作成した。圧縮率の設定は標準である。
zipファイルはそれぞれ、パスワードが必要なものと、パスワード不用のものを作成。
VirusTotalに放り込んで、結果を観察。

*1:error - password-protexted file
*2:Password-protexted-EXE
理解に苦しむのだが、パスワードを知らなければ開けないzip圧縮ファイル中のマルウェアであっても、一部の製品は検出できた。
だがPassword付きzipファイルでeicar.comを検出できたのはAuthentium・F-Prot・Normanの3つであったものの、Happy99.exeを検出できたのはNormanだけであった(W32/Ska.a@m)。
Norman Virus Controlを導入しテスト
Norman Virus Controlをインストールし、最新の状態にアップデートした。
19日にVirusTotalにて供試したファイルを、コンテキストメニューよりスキャン。
手動スキャンの結果、4ファイルとも検知できた。

Discussion
圧縮ファイルのスキャンができない製品もあり、また圧縮の回数(同じファイルを幾度も圧縮した場合)によっては正常に解凍できずにスキャンをスキップする製品もあるだろう。
更にはVirusTotalの結果は実際にウイルス対策ソフトを導入したスキャンの結果をどこまで正しく反映しているのかとの点には、疑問はありますが。
本題ではないのでこの場では議論の対象としては扱わない。
パスワード付き圧縮ファイル中のマルウェアは検出できないと誤解していたのだが、一部のソフトウェアはeicar.com及びskaを検出できた。
だが、どのような仕組みにより検出されるのだろうか?不思議。
今回気にかかった点として、パスワード付きzipファイルのスキャン結果として、VirusTotalにて「何も検出されなかった」ように表示された点だ。
全ての製品を実際にインストールして試したのではないが、「パスワードで保護されたファイルなのでスキャンできなかった」と知らせるのがよりユーザーにとって役立ち親切な仕様なのではなかろうか。
2007年11月10日追記事項
コメントにて指摘がありNorman Virus Controlを再度試したところ、パスワードにより結果が異なった。
Happy99.exe入りフォルダ「Happy99」を、それぞれ1-4の名称のフォルダ中にコピー。格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出。
その他zipファイルはThe archive is encrypted and can not be handledとなった。
パスワードが1桁の数字であれば、Norman Virus Controlはパスワード付きzipファイルの中身を精査できるようだ。
Posted by Luca at 20:15
│
Comments(7)
│
TrackBack(0)
2007年10月09日 - 中学生彼氏募集 - Googleのアドワーズ広告って誰がどう審査している?
livedoorニュースにて「たばこダッシュ」、中学生3人逮捕=コンビニから万引き−警視庁なる記事を開いたらば、凄い広告が表示された。
Googleのアドワーズ広告は以前ろくにチェックもされておらず、悪質な詐欺ソフト業者の宣伝に力を貸していた問題について以前言及した(Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日))。
今回は詐欺業者ではありませんが、Googleはここまで来たのかと。

リンク先は出会い系サイトを紹介する内容で、大体は18歳未満はお断りと表記しているサービスではありましたが。
「中学生彼氏募集の情報をLife123.jpで検索!」、、、、あまりにも倫理的な問題を多く孕み、放置しがたいものではなかろうか?
次いで、Googleにて「中学生彼氏募集」を検索してみた。
これまた堂々と、スポンサーリンクとしてLife123.jpなるサイトの出会い系などを紹介するサービスへリンクが。

中学生に中学生の彼氏を得させるのをサポートする目的なんだろうか。
もしくは「大人が、中学生の彼氏を得るのを促す目的」なんだろうか、児童淫行とか。
自分にはわからないし、知るつもりも無いし、むしろどうでもいい。
少なくともGoogleは広告主をマトモに審査していないとの現況を示した、重要な事例の一つとして自分は捉えている。
AmazonによるGoogleアドワーズ広告は無節操(Semplice, 2006年3月11日)
SpyBotとSpyHunter、Googleのアドワーズ広告の悪用(Semplice, 2005年1月27日)
TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎(Semplice, 2005年12月25日)
Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日)
Googleのアドワーズ広告は以前ろくにチェックもされておらず、悪質な詐欺ソフト業者の宣伝に力を貸していた問題について以前言及した(Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日))。
今回は詐欺業者ではありませんが、Googleはここまで来たのかと。

リンク先は出会い系サイトを紹介する内容で、大体は18歳未満はお断りと表記しているサービスではありましたが。
「中学生彼氏募集の情報をLife123.jpで検索!」、、、、あまりにも倫理的な問題を多く孕み、放置しがたいものではなかろうか?
次いで、Googleにて「中学生彼氏募集」を検索してみた。
これまた堂々と、スポンサーリンクとしてLife123.jpなるサイトの出会い系などを紹介するサービスへリンクが。

中学生に中学生の彼氏を得させるのをサポートする目的なんだろうか。
もしくは「大人が、中学生の彼氏を得るのを促す目的」なんだろうか、児童淫行とか。
自分にはわからないし、知るつもりも無いし、むしろどうでもいい。
少なくともGoogleは広告主をマトモに審査していないとの現況を示した、重要な事例の一つとして自分は捉えている。
関連項目
AmazonによるGoogleアドワーズ広告は無節操(Semplice, 2006年3月11日)
SpyBotとSpyHunter、Googleのアドワーズ広告の悪用(Semplice, 2005年1月27日)
TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎(Semplice, 2005年12月25日)
Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日)
Posted by Luca at 19:45
│
Comments(10)
│
TrackBack(0)