Semplice

　ネット上の情報は正しいとは限らない。誤った情報は溢れているし、場合によっては意図的に不適切なリサーチ結果が公開されている。

　japan.internet.com（インターネットコム株式会社）によるリサーチ結果が、編集部の署名記事で掲載されているのだが。
何をどう言ったらば良いのだろう、言葉に詰まるのだ。

　インターネットコム株式会社と goo リサーチが行った調査によると、インターネットで得た情報が間違っていた経験があるというユーザーは全体の39.62％と、約4割を占めた。
　約4割が経験した「ネット上の間違い情報」、真偽を見極める目は必要か（Japan.internet.com：インターネットコム株式会社）

　2005年12月14日のウイルス対策ソフト、有償でも無償でも効果は同じ!? （Japan.internet.com：インターネットコム株式会社）とか、な。

関連記事

　無料アンチウイルスソフトに関するレポート結果の恣意的誘導（Semplice）  

　ソフトウェアは数千円・数万円・また場合によってはそれ以上の高額な製品だ。購入に際して少しでも経費を抑えたいとの気持ちは理解できない訳ではない。
　シートライセンス・ユーザーライセンス・マルチシートライセンス（1台・また指定された台数のパソコンのみにインストール可能）、コンカレントライセンス（購入した企業・部署にて複数台へのインストールが可能）、ボリュームライセンスなどの扱いは、ソフトウェアメーカーにより様々なようだが。
　大抵の場合、ソフトウェアのパッケージを1つ購入しそれを関わりの無い他人のパソコン複数台にインストールするのは、違法性が高いような気がする。

　また普通は（ソフトウェアの転売における扱いはメーカーによって異なり転売を認めていないメーカーもあるようだが）、アンインストールした上での転売でなければそれは著作権侵害なのではなかろうか。

ライセンス転売業の登場

　先日Microsoft製品のライセンスを転売する企業の記事を見つけ、どうも微妙さを感じたのだが。
　これは違法行為ではないようだし、また記事中にて触れられていたように違法コピーによる被害よりは転売されたライセンスであっても購入する顧客の存在はありがたいのだろう。

　DisclicのディレクターNoel Unwin氏はZDNet UKに対し、「Microsoftの（ライセンス契約の）条項を遵守している限り、われわれがやりたいことはほとんどできる」と述べ、さらに「（Disclicの事業に対し）米国、オーストラリア、インド（の企業）が関心を示すようになった。われわれは英国市場に注目してきたので、この傾向には大変驚いている」と付け加えた。
　Microsoft製ソフトウェアの中古ライセンスの販売が合法である事実が明らかになったのは、2005年11月のことだ。英国破産法に抜け道が存在することに加え、Microsoftの多くのライセンスに未使用あるいは不要なボリュームライセンスの譲渡を認める条項が記載されていることが、この中古ライセンス販売を可能にしている。
　英国の中古MSソフトライセンス販売業者、事業の好調ぶりをアピール（CNET Japan）

　だがライセンスの転売と一口に言っても、どこかのネットオークションにて取り扱われる「格安ボリュームライセンス 100円から入札可！！！」のようなものはかなり怪しいような。
　高級ソフトなどを低価格で販売している人(業者)がオークションなどでよく見かけます。 （人力検索はてな）やボリュームライセンスについて（NBC）などを眺め、色々な方が居るのだなぁと実感する。

不法行為を促す業者

　ソフト買取.net（てくてく糸巻き）にて、あまりにも怪しい業者の話を紹介していたので、大変驚く。
　ソフト買取.net（http://www.softkaitori.net/）なる業者は中古ソフト買取業者なのだが、てくてく糸巻きさんが指摘したようにお客様の声（ソフト買取.net）（http://www.softkaitori.net/contents/voice.html）にて、ソフトウェアを購入・インストールし直後に転売したユーザーの声が紹介されているのだ。
　これは見ても教唆だ。「ユーザーの声」として掲載したのは、ガサ入れが入った際の言い訳目的なのだろうか。
　「発売日の次の日がねらい目！インストールしたらすぐ売っちゃってます」なのだそうだ。

　てくてく糸巻きさんではwhoisを利用した面白い解説を加えている。

「2月1日から買い取り制限を…」とか、
「全国で10000人を突破し、１年前の約３倍の人数です。」って書いてあるのに、
ドメインの登録が今年の2月10日です。
　ソフト買取.net（てくてく糸巻き）

　なるほど、検索結果 SOFTKAITORI.NETでは確かにCreation Dateは2006-02-10である。

　ビジネス ソフトウェア アライアンス（BSA）のような団体に通報してしまえばどうなるんだろうか。
  

　マルウェア（Malware：悪質なプログラムの総称）についての簡単な定義と解説をマルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）（Semplice）にて記載した経緯は、そもそもはトレンドマイクロ社とのやりとりを自分向けに整理する目的であったのだが。これらの区分・定義付けは、ウイルス（Virus）・スパイウェア（Spyware）・アドウェア（Adware）などへの対策にて適切な判断を下し対応策を練るために、またブログ中に用いられるキーワードを解説するために有用であった。

　マルウェアだって？と始めて目にした方は大変戸惑ったのではないだろうか。いずこかのブログや記事を読み解く際に、用語の意味や解釈には頭を悩ませられるものだ。
　様々な用語の扱いを対策側団体がとりまとめた事例としてASC（Anti-Spyware Coalitionｍ）のスパイウェア等の定義（Semplice）を以前紹介したが、この定義に従うサイトやメーカーは急激に増加している。
　「マルウェア」。これはどこから生まれ、そしてどこへ行くのだろう。

マルウェア解説の微妙な記事

　今週のSecurity Check（第166回） 「マルウエア」総まとめ〜その特徴と分類方法〜（IT Pro）なる記事があるのだが、どうもこれが納得がいかない。高橋 正和氏（インターネットセキュリティシステムズ社・最高技術責任者，エグゼクティブ セキュリティ アナリスト）による解説記事だ。
　なお予め断りを入れておくが、このITPro中の記事にては狭義・広義のスパイウェアなどは全く考慮していない。記事中のスパイウェアは「広義のスパイウェア（つまりある意味で何でもアリ）」ではなく「狭義のスパイウェア」である。ASCの解説を読んでいないのだろうか。
　（今時のセキュリティ対策サイトやアンチウイルスソフトメーカーは、ASCの定義をかなり意識しており、これを激しく逸脱するようなサイトはそれほど多くは無い）

ウイルス：記憶媒体やメールを介して自己感染を繰り返すプログラム
ネットワーク・ワーム（ワーム）：ネットワーク経由で自己増殖するプログラム
受動的攻撃：受動的攻撃[注1]によって攻撃を仕掛ける，あるいは感染するプログラム
トロイの木馬：有用なプログラムなどを装って侵入するプログラム
バックドア：PCを外部から操作できるようにするプログラム
スパイウエア：PCの情報を盗み取るプログラム[注2]
アドウエア：広告などを勝手に表示するプログラム
フラッダ(Flooder)：DoS/DDoS攻撃を行うためのプログラム
ドロッパ(Dropper)：他のマルウエアをダウンロードするプログラム
注1　「『受動的攻撃』に気をつけろ〜その実態と対策〜」
注2　ユーザーのキー入力などを記録して盗む「キーロガー」は，スパイウエアに分類される。
　今週のSecurity Check（第166回） 「マルウエア」総まとめ〜その特徴と分類方法〜（IT Pro）

　バックドア、これは単体のソフトウェアとしての解釈か？
　このままだとWindowsに搭載されているリモートアシスタンスやSymantec社のpcAnywhereまで悪質なマルウェアとして含まれてしまうではないか！
　商業的な・かつネットワーク管理者が業務の上で利用するようなソフトウェアで悪意のある誰かにより導入されたのでなければ、普通はバックドアとは呼称しないだろう。ASCはこれらを明瞭に区分している。
　（マルウェアによって導入された「表ツール」のリモートアクセスソフトを、アンチウイルスソフトメーカーが駆除対象としない理由は、そのような背景による）

　アドウェア（Adware）は「広告などを表示するプログラム」であるが、「広告などを勝手に表示するプログラム」ではない。多くのアンチウイルスソフトメーカーやセキュリティ対策サイトが言及しているように、アドウェアは無料ソフトの代償としてユーザーの理解を得た上で導入されたり、また不法行為を伴わないものも多数あるからだ。
　無断・騙し・長すぎな仕様許諾説明書・アンインストールの方法を提供しないNuisance or Harmful Adware（厄介で有害なアドウェア）と、十分な説明の上でユーザーの許諾を十分に受けて導入され・またアンインストールが容易なアドウェアは、混同すべきではない。
　蛇足になるのだが。信頼できるアドウェアの認定プログラム発足（ITmedia）にて紹介されている「Trusted Download Program」のような試みもあるものの、「認定に乗ずるアドウェア企業が現れる」--TRUSTeの新制度に一部から批判の声（CNET Japan）の末尾にて紹介されたように、悪質な企業が何らかの形で安全であるとの認定を受けようとする事例が多数報告されている点には注意を払わなければならない。

　またドロッパーは、「他のマルウエアをダウンロードするプログラム」ではない。
　ドロッパーはそれ自身が他のプログラムを内包し・また新規に作成させる機能を持つプログラムである。つまりネットワークに接続していなくても、新規に別の何かを作成するのだ。
　ITPro記事中における「ドロッパ（Dropper）」の説明は、「ダウンローダー（Downloader）」の機能である。
　ダウンローダーはネットワークを介して新たなプログラムをダウンロード・導入させるマルウェアである。
　一例として不審なアンチスパイウェアソフトと、ZlobとCodec（コーデック）の関係（Semplice）にても触れたのだが、eCodecはドロッパーでZlobを作成し、Zlobはダウンローダーであり他のマルウェアをどんどんダウンロードし無断インストールする。

　トロイの木馬については，いずれの意味でも使われる場合がある。（1）「ユーザーをだまして実行させる（ソーシャル・エンジニアリングを使う）」といった感染活動をするマルウエアを指す場合と，（2）「ユーザーが意図しない動作（活動）をする」マルウエアを指す場合である。いずれの使い方でも誤りではないが，本稿では（1）のようなマルウエアをトロイの木馬と呼ぶ。
　今週のSecurity Check（第166回） 「マルウエア」総まとめ〜その特徴と分類方法〜（IT Pro）

　あながち間違いではないのだが。記事中で「バックドア」として扱われているRATをトロイの木馬として扱う事例が何年も前より複数存在するので、これについての言及が欲しいところだ。
　つまり「ある感染様式」のものをトロイの木馬と呼称する事例と、慣用的に？リモートアクセスツールをトロイの木馬として扱う事例があるのだな。

　スピア・フィッシングは，まだあまり一般的ではないが，「特定の組織や個人を狙った，トロイの木馬を含んだ電子メールによる攻撃」と定義できる。スピア・フィッシングは2005年6月以降，各国のセキュリティ組織やベンダーが相次いで注意喚起している[注5]。
　今週のSecurity Check（第166回） 「マルウエア」総まとめ〜その特徴と分類方法〜（IT Pro）

　文面そのものは、間違いではないのだが。
　2001年頃には既に、フリーメールのアカウントを取得する目的の手口はあったような。
　「スピア型」との類型が近年のものであるのは確かなのだが、特定個人を狙うスピア型攻撃そのものは、（スピア型との名称が存在しない時期より）割と知られているような。

まとめ画像があまりにも納得できない

　表4　マルウエアの分類、これがあまりにも不適切なのではなかろうか。「動作に対する呼び方」を読んでみる。

　バックドアは前述の理由で不適切な解説である。
　ルートキット（Rootkit）は「バックドアの存在を隠蔽する手法・ツールの総称」ではない。これは特定のファイル・レジストリエントリ・プロセスを隠匿するためのものだ。
　スパイウェアはバックドアの一種ではない（ITProの記事中にてバックドアはリモートアクセスツールとして区分されている）。
　「アドウェア（の一部）」を「スパイウェア的な活動をする。」と記載していたが、「動作に対する呼び方」と明記しているのだからこれは誤りである。これはアドウェアとしての機能ではないからだ。また合法なアドウェアと不法なアドウェアをITProの記事中にて区分していなかった点にて、見直しを迫りたい。
　（あるアドウェアがスパイウェアとして機能するならばだって？「動作に対する呼び方」なのだから「そのような機能」はスパイウェアに内包されるだろう）。
　破壊活動。ディスクの破壊って何ですかね。ハードディスクを超高速回転させるとか？ファイルシステムやパーティションやファイルの破壊と言いたかったのだろうか。
　ドロッパ（Dropper）。これはダウンローダーと混同しているのだろう。

関連記事

　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）
　ASC（Anti-Spyware Coalitionｍ）のスパイウェア等の定義
　スパイウェア（Spyware）の解説と定義、概論
  

目的のブログエントリを検索するのは難儀

　livedoorBlogの正直な感想なんですが、提供されるサイトデザインのテンプレをそのまま使うには無理があります。
　拙い知識でスタイルシートやその他をかなりカスタマイズし、とりあえず何とかなったなと判断した上で、はてなより移住しました。
　ですが知人よりの最近の指摘では、Sempliceは致命的な欠陥があるそうで。
　つまり過去の有用なブログエントリを探しづらいと（長文だらけの130のブログエントリ全てを読むのは無理だろと）。

　ユーザビリティ対策？これを真面目に考えました。
　検索窓、これは有料サービスのlivedoorサーチに登録しなければならず。
　（しかも高価！）
　これを導入しようかと考えました、ボーナス前ですが。ですがSempliceはマルウェア（ウイルス・スパイウェア・アドウェア等）に特化した話題が多く、重複ぎみで。これらを検索しても検索結果から探すのが面倒との結論に至りました。
　（大体、これを導入するくらいならばGoogle検索で「Semplice」とその他個別のキーワードを検索しますよ）
　そこでブログエントリのまとめページを作成しようかと考えたものの、ドアページになってしまうような気がするし。

カテゴリ（Categories）のプラグインを活用する

　これまでは何となく設定しほとんど放置していたカテゴリごとの表示、つまりWindows・セキュリティ・マルウェア（Malware）と対策等をうまく整理し、タイトルとリンクのみ表示するようにしたんですが。
　。。。。。駄目ですね、これは。
　自分のブログ経験の浅さのためもあり、タイトルのみでは個別のブログエントリの内容を具体的に・直感的に表せません。
　ここに2-3行程度の解説を加えようとしたものの、挫折。
　そんな時、タイトルリスト化した月別・カテゴリー別記事ページに要約を付ける（パンパでガウチョ）なる記事をたまたま発見しました。
いい感じではないですか！
　パンパでガウチョにて紹介されていた手法は、トラックバック送信時に掲載される要約文、これをJavaScriptにて表示するとの内容。
　素晴らしい。。。。。。
　まずリスト生成、これはカスタマイズしてこのようにした。
<dl class="archives_list"> <CategorizedArticlesLoop> <dt> <IfDateChanged><h2 class="date"><a class="aposted2" href="<$ArticlePermalink$>"><$ArticleDate$> - <$ArticleTitle ESCAPE$></a></h2><a name="<$ArticleDateTag$>"></a></IfDateChanged> <div class="blogbody"> <a name="<$ArticleId$>"></a> </div> </dt> <$TrackBackAutoDiscovery$> </CategorizedArticlesLoop> </dl>
　これに紹介されていたJavaScriptを、</body>の直前に配置。
　カスタマイズ前。カテゴリプラグインからのまとめを開くと、凄まじく冗長な本文が表示され、目的の記事を探しづらい。

　カスタマイズ後。大変すっきりした。

半角文字の羅列とサイドバー

　半角の長い文字列、例としてレジストリエントリを掲載したらば、サイドバーが画面下に落ちてデザイン的観点で宜しくない事態となっていたのだが。これまで手抜きで放置したり、また間にスペースを入れていましたが。
　パンパでガウチョさんにて利用されていたtextareaを使うと、あっけなく解決。
　しかし投稿画面にて「改行をそのまま反映」にすると、textarea内部に<br>が羅列されるので、「改行しても反映しない」を選択する必要がありそうだ。
　だが<br>を毎行ごとに入力するのは面倒だったりする。   

　ブラックウォームなるウイルスの名称をちらつかせ、また個人情報が漏れていると脅迫するサイトの存在は、4月上旬より日本国内で話題となっている。これは何らかのタイミングで妙なサイトを開いてしまった消費者に、何かのマルウェア（Malware：スパイウェアやウイルスなど）に感染していると脅迫し、WinAntiVirusPro 2006とWinAntiSpyware 2006なる製品を導入するように強要するものだ。
　注目すべき点としてこれは日本語サイトであり、またダウンロードするよう強要されるソフトウェアは英語版Windowsでは文字化けする点で、日本人をターゲッティングしているのは明らかだ。

　またネットワークキャプチャの結果、この「ブラックウォーム」に最終的に接続させるまでのやりとりの中で、インチキソフトの製造元として著名なwinfixer.comの関与を確認した。
　今回もかなりの長文となるので、急ぎならば最後のConclusionのみを読んでもらいたい。

ブラックウォームに感染していると脅迫するサイトの概要

　昨日Google検索にて2つのブログにおいて感染元の情報が掲載されているのを発見した。

　興味ある人は、
　お気に入りに追加したから↓のURLで見てね。（DLしない限り安全だと思う
　http://amaena.com/securityworm5/jp/?aid=adtiger-jp&lid=jp
　ブラックウォームウイルス（REREI have no need of your help）

◆Bunker Busters（リンク先はBREAK.COMなるサイトのhttp://www.big-boys.com/articles/bunkerbuster.html）
【関連動画：Another Bunker Buster - 地下ではなく車を
コメント：
　おい！！Bunker Busters クリックしたらブラックウォームとかいうウィルスにかかたっぞ！
　Posted by 名無しさん at 2006年04月02日 21:01
　地下施設破壊用兵器、バンカーバスター実験映像（ひろぶろ）

　今回はBREAK.COMを試してみよう。

　セットアップ直後のWindows XP HomeEditionを用意。
　http://www.big-boys.com/articles/bunkerbuster.html 閲覧後に、あちこちサイト内のボタンを押しまくる。これは複数回閲覧しバナー広告を入れ替える目的だ。数回目にして「パソコンのエラーが発生しました」なる広告が表示される。
　この「パソコンのエラーが発生しました」なるバナー画像はWinFixer2005による脅迫は自作自演（Semplice）で見かけたのと同じものですね。

　広告のリンク先は「http://ad.mediaprecision.net/click,AAAAAFpAAABQ0AAAhk4AAAABAAAAA
P8AAP8FFAEABAPUUwAAgWEAAOF8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAFUmPkQ
AAAAA,http://rotator.adjuggler.com/servlet/ajrotator/160575/999/ch?ajkey=
V1137737B04DC682346DC682346L157584L157608L160574L155779QQP0G000C&ajlink=$,」

　問題の広告のソースは


　画像をクリック。
　「新しい脅威が検出されました：ウイルス名新しい脅威が検出されました：ウィルス名「BloodHound」感染を防ぐ為、セキュリティソリューションをダウンロードするのお勧めします。感染を防ぐ為、セキュリティソリューションをダウンロードするのお勧めします。」なる怪しいダイアログが出たのでOKを押す。
　（ちなみにBloodHoundは、Symantec社製品のヒューリスティックスキャンにて検出されるシグネチャ未対応マルウェアに対する汎用的な検出名であるが、この怪しいサイトはSymantec社とはいかなる関わりも無いだろう）

（*クリックで拡大）
　ブラックウォームのページ（http://amaena.com/securityworm5/jp/?aid=cyb_jp_ja&lid=os&ax=0）が表示された。
　URI削りをしたらば、http://amaena.com/securityworm5/でも表示された。なお「http://amaena.com/securityworm5/」を検索すれば、あちらこちらのフォーラムにて複数のURIの報告が見つかるだろう。

（*クリックで拡大）
　IPアドレス、ブラウザ、コンピュータOS、パソコン情報、パソコン地域。これらの表示はブラウザの環境変数を取得して表示し、ユーザーを驚かす目的のものなのだろう。なんて他愛の無い、低レベルの脅迫なんだろう！
　「貴方のパソコンは「ブラックウォーム」に感染される恐れがあります。ご覧のセキュリティソリューションをダウンロードするのをお勧めします。」
　「「ブラックウォーム」は危険性の高いウィルスであります、2006年2月に出現して、すでに多くのコンピュータの情報を破壊しました。このウィルスはすでに百万のパソコンを感染して、インターネット上で色んな国で広がれています。」
　「警報！セキュリティセンターは貴方のパソコンにセキュリティミッスを検出しました。そして貴方の個人情報を違うコンピュータに伝送される恐れがあります。以下のプロセス（win32res.exe）ご覧の情報を送信しました。

　一応Vigilにて確認はしたが、クッキーを除けば個人情報の流出に繋がるようなものは一切やりとりされていなかったのだが。
　またwin32res.exeって何だろう。

クリーンなパソコンでもブラックウォームの警告は表示されるのか？

　さて、毎回毎回おなじみの「限りなくクリーンなWindows XP Pro SP2 英語版」の登場だ。
　PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（Semplice）にて更なる研鑽を加え、「これでウイルスが検出されるなんでありえないだろう」と自信を持って断言できる、VirtualPCのゲストドライブである。

　。。。。うーむ。http://amaena.com/securityworm5/jp/?aid=cyb_jp_ja&lid=os&ax=0はマルウェアに感染していない環境であってもまだ、「貴方のパソコンは「ブラックウォーム」に感染される恐れがあります。」と表示する。
　結局この怪しいサイトは、何にも感染していなくても「ブラックウォームに感染される恐れがあります。」などと表示する、インチキサイトなのだな。

　一応WinAntiSpyware2006とWinAntiVirusPro2006のインストーラーをダウンロードしようとしたのだが、WinAntiSpyware2006とWinAntiVirusPro2006はいずれもWinAntiVirusPro2006FreeInstall_jp.exeなのだ。手抜きか？

ブラックウォームの、ここまでのまとめ

　「BREAK.COM（http://www.big-boys.com/）」そのものが悪意があるサイトなのではない。BREAK.COMと契約している広告代理店の「http://a.tribalfusion.com/」が、「http://ad.mediaprecision.net/」へのアンカー（リンク）を含めたいかがわしい広告（パソコンのエラーが発生しました）を表示しているのだ。
　「ブラックウォームを表示するページ」はhttp://amaena.com/securityworm5/である。これは何にも感染していなかったとしても、ブラックウォームの脅迫を表示するだろう。

英語版OSでの表記は英語となる

　2006年4月18日追記
　英語版OSで言語設定を英語、LocationをUnited Stateにしたらば、広告ダイアログは英語表記。

（*クリックで拡大）

　またブラックウォーム（http://amaena.com/securityworm5/）を開くと日本語ページにリダイレクトされず、英語ダイアログが出る。

　そして表示されるページは英語ページとなる。

（*クリックで拡大）
　つまりこれらのトラップは多くの言語環境に対応し、日本語ならば日本人向けのページを表示するのだ。

WinAntiVirusPro 2006をテストする

　供試したインストーラーはこのようなものだ。これを「限りなくクリーンなWindows XP Professional SP2英語版」に導入し、挙動を観察しよう。

　ところがですね。インストール時のダイアログは、英語版Windowsでは文字化けが激しい。英語版OSでは利用できないようだ。

　仕方無いので、Windows XP Home Edition 日本語版（SP未適用）のインストール直後の状態のゲストOSを利用し供試する。なおこれはInternet Explorerを起動しホームをMSNに設定はしたが、Cookie・IEの履歴とキャッシュは削除していた。
　インストール時のダイアログがちゃんと表示されると言う事は、これは日本語版OS向けにカスタマイズされたバージョンなのだろう。このようなソフトの製造者が日本の消費者をターゲットにしている現状は、うっすらと背筋が寒い。

　なおinstlog.winantivirus.comとdownload.cdn.winsoftware.com、statsl.reliablestats.comとtrial.updates.winsoftware.comへの接続を確認した。パケットキャプチャによる監視結果では、個人情報の流出は確認できなかった。
　スキャンをしたのだが終了後に表示された「スキャンの要約」ではマルウェアは一切検出されなかった。ここで何かが検出されたならば、存在しないマルウェアを検出したとの点でWinFixer2005のようなインチキソフトとして判断を下せたのだが。

（*クリックで拡大）
　オプションより「ウイルススキャン」を開き、「インテリジェンスモード - 最近変更したファイルだけスキャンします。（推奨）」から「標準モード - 全てのファイルをスキャンします（低速）」を選択。「クイックスキャン」ではなく「普通」なる方式でスキャンしたが、存在しないマルウェアの検出・検出対象ファイルの自作自演的作成は行わなかった。
　（注：WinFixerは検出対象ファイルを自作自演で作成し、これを検出して製品を購入するように促す）

ブラックウォームと関連する広告代理店と広告主を炙りだす

　スパイウェア（Spyware）・アドウェア（Adware）・ブラウザハイジャッカー（Browser Hijacker）と広告代理店は、深い繋がりを持つ例が多数報告されている。
　Benjamin Edelman氏はThe Spyware - Click-Fraud Connection -- and Yahoo's Role Revisitedにてスパイウェアメーカー（一例として180solutions）と広告代理店とYahoo Overtuneの関係をレポートしている。これを読み大変刺激を受けたので、同様のアプローチを試みてみたい。

ブラックウォームの真の運営者は誰だ？

　ネットワークパケチャとブラウザのステータスコードについて簡単に説明する。Internet Explorerなどのブラウザでどこかのサイトを閲覧すると、クライアントからWEBサーバーへ以下のようなリクエストが送信される。

　WEBサーバーはレスポンスを返す。この際にステータスコードを送信する。
　通常は200が返ってくるのだが、たまに301や302が返り、他のサイトにリダイレクトされる。
　301はMoved Permanently（別のURIへ移転した）、302はFound（一時的に別のURIへ接続するように）の意味で、それぞれサイトの移転時などに設定される。

1）まずはブラウザのアドレス欄に「http://ad.mediaprecision.net/click,
AAAAAFpAAABQ0AAAhk4AAAABAAAAAP8AAP8FFAEABAPUUw
AAgWEAAOF8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAFUmPkQAAAAA
,http://rotator.adjuggler.com/servlet/ajrotator/160575/999/ch?ajkey=
V1137737B04DC682346DC682346L157584L157608L160574L155779QQP0G000C
&ajlink=$」と入力しEnterキーを押す。このURIはhttp://a.tribalfusion.com/により表示されたバナー広告だ。

2）＜レスポンス＞
HTTP/1.1 302 Found
Location: http://ad.yieldmanager.com/click?
AAAAAFpAAABQ0AAAhk4AAAABAAAAAP8AAP8FFAEABAPUUw
AAgWEAAOF8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAFUmPkQAAAAA
,http://rotator.adjuggler.com/servlet/ajrotator/160575/999/ch?ajkey=
V1137737B04DC682346DC682346L157584L157608L160574L155779QQP0G000C
&ajlink=$,

3）＜リクエスト＞
GET /click?
AAAAAFpAAABQ0AAAhk4AAAABAAAAAP8AAP8FFAEABAPUUw
AAgWEAAOF8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAFUmPkQAAAAA
,http://rotator.adjuggler.com/servlet/ajrotator/160575/999/ch?ajkey=
V1137737B04DC682346DC682346L157584L157608L160574L155779QQP0G000C
&ajlink=$, HTTP/1.1

Host: ad.yieldmanager.com
＜レスポンス＞
HTTP/1.1 302 Found
Location: http://rotator.adjuggler.com/servlet/ajrotator/160575/999/ch?ajkey=
V1137737B04DC682346DC682346L157584L157608L160574L155779QQP0G000C
&ajlink=http://w1.winfixer.com/smartserve/click?placement=bn-wfx-01&aid=cyb&lid=os

4）＜リクエスト＞
GET /servlet/ajrotator/160575/999/ch?ajkey=
V1137737B04DC682346DC682346L157584L157608L160574L155779QQP0G000C
&ajlink=http://w1.winfixer.com/smartserve/click?placement=bn-wfx-01&aid=cyb&lid=os HTTP/1.1

Host: rotator.adjuggler.com
＜レスポンス＞
HTTP/1.1 302 Moved Temporarily
Location: http://w1.winfixer.com/smartserve/click?placement=bn-wfx-01&aid=cyb&lid=os

5）＜リクエスト＞
GET /smartserve/click?placement=bn-wfx-01&aid=cyb&lid=os HTTP/1.1
Host: w1.winfixer.com
＜レスポンス＞
HTTP/1.1 302 Found
Location: http://www.winfixer.com/pages/scanner/index.php?aid=cyb_jp_ja&lid=os&ax=0

6）＜リクエスト＞
GET /pages/scanner/index.php?aid=cyb_jp_ja&lid=os&ax=0 HTTP/1.1
Host: www.winfixer.com
＜レスポンス＞
HTTP/1.1 302 Found
Location: http://www.amaena.com/securityworm5/?aid=cyb_jp_ja&lid=os&ax=0

7）＜リクエスト＞
GET /securityworm5/?aid=cyb_jp_ja&lid=os&ax=0 HTTP/1.1
Host: www.amaena.com
＜レスポンス＞
HTTP/1.1 302 Found
Location: http://amaena.com/securityworm5/jp/?aid=cyb_jp_ja&lid=os&h=&b=0

8）＜リクエスト＞
GET /securityworm5/jp/?aid=cyb_jp_ja&lid=os&h=&b=0 HTTP/1.1
Host: amaena.com
＜レスポンス＞
HTTP/1.1 200 OK

「ブラックウォーム」騙しサイトとWinAntiSpyware・WinAntiVirusProの黒幕に迫る

　BREAK.COM（http://www.big-boys.com/）で表示された広告は、http://a.tribalfusion.com/によるものであり、広告のリンク先はhttp://ad.mediaprecision.net/（略）http://rotator.adjuggler.com/（略）であった。

　1）http://ad.mediaprecision.net/（略）http://rotator.adjuggler.com/（略）を閲覧
　2）http://ad.yieldmanager.com/（略）http://rotator.adjuggler.com/（略）へ転送
　3）http://rotator.adjuggler.com/（略）http://w1.winfixer.com/（略）へ転送
　4）http://w1.winfixer.com/smartserve/click?placement=bn-wfx-01&aid=cyb&lid=osへ転送
　5）http://www.winfixer.com/pages/scanner/index.php?aid=cyb_jp_ja&lid=os&ax=0へ転送
　6）http://www.amaena.com/securityworm5/?aid=cyb_jp_ja&lid=os&ax=0へ転送
　7）http://amaena.com/securityworm5/jp/?aid=cyb_jp_ja&lid=os&h=&b=0へ転送
　8）「ブラックウォーム」騙しサイトが開く

　ネットワークキャプチャの結果よりこの「ブラックウォーム（http://amaena.com/）」の騙しサイトは、WinFixerの製造元のwinfixer.comが運用している深く関与していると明らかになった。
　（winfixer.comは広告代理店ではなく、インチキソフトメーカーである）

whoisの結果

今回ブラックウォームの警告を表示したamaena.comは
Registrant:
Amaena
P.O. box1048, Chernigov, NA 14032, UA

amaena.comが導入させようとするソフトのwinantivirus.comは
Registrant:
WinAntiVirus
P.O. Box 3, Kiev, NA 04114, UA

Bogus ware（インチキソフト）として著名なwinfixer.comは
Registrant:
WinFixer
P.O. Box 3, Kiev, NA 04114, UA

winantivirus.comとwinfixer.comは、ウクライナのキエフ。私書箱の番号が同じですね。
amaena.comはウクライナのチェリンゴフの私書箱。

ブラックウォーム経由でWinAntiVirusProを導入した場合の対処法

WinAntiVirus Pro 2006のアンインストール

　アンインストーラーの起動方法はコントロールパネル経由とスタートメニュー経由の2つがあるのだが。2006年05月12日の匿名氏による投稿により気付いた問題として、「プログラムの追加と削除」よりアンインストールを行っても失敗するため、スタートメニューより実行する必要がある。

　スタートメニューより「WinAntiVirus Pro 2006のアンインストール」を選択すれば怪しいページが開き、これのアンケートにどうでもいいチェックを入れSEND FEEDBACKを押せば、アンインストーラーが起動するだろう。
　LANケーブルを引っこ抜いてもアンインストール操作は成功するだろう。

　アンインストーラー経由により削除するのは、簡便な手段としては有用であるものの、慎重な姿勢で挑みたいとの理由にて自分としては安易に推奨するつもりは無い。
　いずれにしても自己責任で行って下さい。

　注1）全く身に覚えが無いのにいつの間にかWinAntiVirus ProやErrorSafeなどがインストールされていたならば、事項の「一般的対処法方法」にてシステム全体をチェックした方が良いだろう。

マルウェア感染時における一般的対処方法

　多くのセキュリティ対策ソフトウェアにて、このWinAntiVirus Pro 2006は検出対象とされている。
　「アンインストーラーを利用したWinAntiVirus Pro 2006の削除は信頼できない」と考える方は、このような手順で対処して下さいな。

　1）Ad-awareとSpyBot S&Dをダウンロードし、アップデート。使い方は「http://spy.tte-navi.net/」を参照
　2）現在利用しているアンチウイルスソフトをアップデートし、スキャン対象ファイルを「全てのファイル」とし、ヒューリスティックスキャン（NortonではBloodhoundなど名称が製品ごとに違いますが）を最高レベルに。
　3）セーフモード で ウイルススキャン（Palm84）（http://www10.plala.or.jp/palm84/safemode/）に掲載されている、セーフモードでの起動方法をメモ
　4）Ethernetケーブル（LANケーブル）を抜く
　5）OSをセーフモードで起動
　6）アンチウイルスソフトでスキャン
　7）Ad-awareでPerform full system scanにてスキャン、SpyBot S&Dでスキャン
　8）コントロールパネルよりインターネットオプションを開き、全般タブより「標準設定」。プログラムタブより「Web設定のリセット」。またプログラムタブよりアドオンの管理を開き、覚えが無いアドオンを全て無効に。
　9）OSを通常起動

　コントロールパネル中にWinAntiVirusProのアイコンだけが残る場合は（プログラムの追加と削除中のリストの話ではない）、C:\WINDOWS\System32\av.cplを削除すれば表示されなくなるだろう。

amaena.comによる「ブラックウォーム」またはその他の手口で導入するよう何度もしつこく表示される

　あるサイトを君が手動で開いた際にブラックウォームの騙しサイトやバナーが表示され、それ以外では一切表示されなかった場合は、それほどの心配は無いだろう。無視して下さいな。

　注意を払わなければならない点として、どこのサイトを表示しても強制的にブラックウォームへリダイレクトされる・何度もしつこく表示される・ブラウザ（Internet Explorer）を起動するたびに表示される、などの場合だ。
　更には強制表示されるサイトはブラックウォーム関連に限らず、怪しい英語の検索サイトやリンク集のような事例も考えうるだろう。
　このような場合は悪質なアドウェアやブラウザハイジャッカーに感染している可能性が示唆されるだろう。

　また何もしておらずブラウザを起動していなくてもいきなり「何々をインストールしろ」またはその他不審なポップアップ表示がパソコンのデスクトップ上に表示される場合も、同様である。

　「マルウェア感染時における一般的対処方法」を実行して下さい。
　このような事例では単純にアンインストーラーよりWinAntiVirus Proをアンインストールしたとしても、完全な修復は期待できないからだ。

　実際の話として、自分の周囲ではブラックウォームの騙しサイトへ偶然辿りつき手動でWinAntiVirus Proを導入した方よりもむしろ、他のマルウェアに感染した結果として騙しサイトへ誘導された・または勝手に無断でインストールされた事例が多いのだ。

代金をクレジットカードで支払ってしまった

　Sempliceへの幾つかのコメントは、クレジットカードにて購入したエンドユーザーがその後全く身に覚えの無い不正な請求の被害を受けたとレポートしている。
　VISAや何かへすぐに連絡し、クレジットカードの番号を変更してもらうよう手続きをするべきである。

　なお君が支払ってしまったWinAntiVirus Pro 2006の代金そのものは、高い勉強代としてあきらめるしかないようです。

Conclusion

　・ブラックウォームのリスクをちらつかせ、またブラウザより取得した環境変数をWin32res.exeによる個人情報漏れであると虚偽のレポートを表示する、インチキなセキュリティ対策サイトがあった。
　・このインチキサイトは、何にも感染していないクリーンなパソコンであっても何かに感染していると騙した。
　・騙しサイトが導入するよう強要したWinAntiVirusPro 2006は、存在しない脅威を検出しなかった点でインチキソフト（Bogus ware、Rogue ware）とは言い切れなかった。
　・「ブラックウォーム」に脅されWinAntiSpyware・WinAntiVirusProを購入しなければならない理由は皆無だ！
　・パケットキャプチャの結果、複数の広告代理店の関与が明らかになった。また騙しサイトのamaena.comは、インチキソフトとして著名なWinFixer2005の製造元であるwinfixer.comの関与が明らかになった。
　・Whoisの結果、WinAntiVirusProのwinantivirus.comは、著名なBogus ware（インチキソフト）WinFixer 2005のwinfixer.comと私書箱が同一であった。
　・今回はURIを手動入力し表示させたのだが、もしもブラウザを起動するたびにこのページが表示されるような場合は、何らかのマルウェアによりインチキサイトを強制的に表示させられているのだろう。そのような場合には何かのマルウェアの存在を疑い、実際に店頭で販売されているようなアンチウイルスソフトなどでスキャンしてもらいたい。

関連記事

　WinFixer2005による脅迫は自作自演
　Bogus wareとRogue ware、インチキソフト
　ランサムウェア（Ransomware）とFUD
　FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング

Appendix

　海外の相談系フォーラムに、このブラックウォームのポップアップが出るとの相談がPostされていた。

Lately I have been getting different annoying popups from various websites. The main one is a window opening up stating an infection by the blackworm virus and when I close it it opens up another popup with the WinAntiVirusPro 2006 website advertsing. I have also been getting popups from adultfriendfinder and various other non-related/P2P websites as well.

　Supposed Blackworm infection - WinAntiVirusPro 2006 popups（TechSpot Troubleshooting）
（http://www.techspot.com/vb/all/windows/t-46305-Supposed-Blackworm-infection--WinAntiVirusPro-2006-popups.html）より引用

　さて、リンク先のフォーラムの一番下を見てもらいたい。しっかりと「警告 - スパイウェア」「パソコンのエラーが発生しました」とのバナー広告が表示されているではないか。
　。。。。。。何かの悪い冗談でしょうか？

更新履歴

　

2006年10月18日

　av.cplについて、またWinAntiVirus Proの感染事例にては他のマルウェアとの複合感染が多い点を追記。
  

　いずこかの掲示板・BBS・フォーラムに、犯罪行為の予告や極めてえげつない誹謗中傷が掲載されるのを目にした経験はないだろうか？
　ここ数ヶ月の間「どこそこの学校を攻撃する」や「誰々を殺傷する」などの犯行予告を行った者が、警察に通報され逮捕されたニュースを幾つか目にした。
　犯行予告の投稿が「単なる冗談」なのか「本気」なのか、それを見分けるのは無理がある。逮捕されてから「あれは冗談でした」などと言われても、Postした者が特定され逮捕されるまでの間、対象となった学校では教職員や父兄は大変不安な日々を送ったのは事実だ。

マルウェアによる自動的投稿トラップ

　自動的に・パソコンの持ち主が意図せず勝手に投稿させられるトラップは、かなり以前より存在する。これまではこのようなものは笑いを誘うような投稿や特に意味がない文章ばかりで、それほどの影響はなかった。
　そして自動投稿トラップに遭遇する機会は極めて限定的なものであり、いずれも短期間に消失した。

　近年ではWinnyウイルスとも呼ばれるAntinnyの感染症状としての自動投稿や、またその他のマルウェアによる自動投稿が複数例報告されている。これらの罠を含んだ実行ファイルはこれから何ヶ月・何年もの間、ネット上のどこかに潜み・時にはその機能を発揮するのだろう。

　ここでふっと、大変な不安が湧いたのだ。
　被害者（自動投稿を行ったパソコンの所有者）は、どうなるんだろうか？
　まさかとは思うのだが、IPアドレスを掲示板管理者より開示された警察は、自動的投稿の被害者（パソコンの持ち主）を逮捕するのだろうか？

　Trojan.Sufiage.B（Symantec）を眺めると、相応に刺激的なフレーズが並ぶ。このマルウェアは2chに自動的に投稿するのだが、犯行声明の体となっている。
　さて、投稿の内容をより高度化させたとする。
　例えばパソコンより日時を取得し、投稿より5日12時間後の時刻を本文に含めるとか。具体的な地名や小中学校の名称を含めるとか。また犯行の手口までを具体的にとか。
　つまり「実際に犯行予告として判断され、警察が動き出しそうな文面」としたらば、どうなるんだろうか。

　応用例として、感染者のパソコンが中国のグローバルIPアドレスであったらば、「民主化」とか「天安門広場」などの単語を含んだ文章を自動的に投稿するなどだ。
　（中国ではネット検閲にてこのような投稿を発見した場合、投稿者は極めて面倒な立場となる）

パソコンに感染したマルウェアを駆除するべきではない？

　自動的投稿トロイ・またはマルウェアに感染した場合、本当にパソコンの持ち主が逮捕され訴訟の場へ引きずり出される可能性があるのではなかろうか。
　しかし既に修復済みであった場合、これが所有者による投稿なのか・マルウェアによる自動的投稿なのかを判別するのは困難であるように思われる。

　自身の身の潔白を証明する証拠を失わせない目的で、マルウェアに感染したパソコンは修復せず、コンセントを引っこ抜いて押入れに保存するよう推奨する。
　。。。。というのは半分冗談ですが。
　どうしたらばいいんでしょうかね。
  

3月末、F-Secure社は大変興味深いマルウェア、FlexiSPYを検出対象とした。これは他人の携帯電話に感染させ、その通信を監視するためのソフトウェアだ。

セキュリティ対策企業のF-Secureは3月29日、Symbianプラットフォームに向けられた新種のトロイの木馬を発見したと発表した。
Flexispy.Aがインストールされた携帯を使うと、誰あてに電話したか、どんなメッセージを送信したかがリモートで監視されてしまう。
　Symbian携帯の通話履歴、メッセージが筒抜けになるトロイの木馬（ITmedia）

　ネタ元のF-Secure社のブログ。

What makes this interesting is that Flexispy.A is a trojan spy written by a company for commercial reasons. The company claims that it's a useful tool for catching a cheating spouse.
By installing the application on the phone they can monitor to whom the victim is calling and what SMS messages he or she is sending.
（和訳）
　面白くさせてくれるのは、Flexispy.aは企業によって商業的目的のために作成されたTrojan Spyであることだ。不倫をしている配偶者を捕まえるのに有用なツールであると企業は主張している。
　電話にアプリケーションをインストールすれば、犠牲者が誰に電話をかけてまた彼・彼女が送るSMSメッセージがどんなものなのかを監視できるだろう。
　First Trojan Spy for Symbian Phones（F-Secure）

　何年か前にもラバースパイなる似たような製品があった。詳しい事はわからないが、これは金銭を支払い依頼するとターゲット宛にhtmlメールを送りトロイに感染させ、ターゲットを監視できるようにさせてくれるマルウェアだ。そしてこのマルウェア作者はFBIに逮捕されたが、当時はこれを規制する法律が無く盗聴として扱い逮捕したのだそうな。
　グリーティングカードを装いIDやパスワードを盗み出すプログラム（INTERNET Watch, 2003年10月2日）
　Spyware-LoverSpy application（McAFEE）

　FlexiSpyはVervata Co LTDなるタイ・バンコクの企業が開発したトロイ、いやむしろ目的としてはスパイウェアらしい。詳しい仕組みはVervate社によれば、被害者の携帯電話より抜き出したデータをFlexSPY Serverに転送・保存し、これを契約したクライアントがWebブラウザで閲覧できるようだ。ちなみに$49.95USD。
　果たしてタイには、このようなマルウェアを取り締まる法令は存在するんだろうか？
　トップページの利用者の声、これはどうせ「私は何々で幸せになりました」な嘘チラシと同じようなものとは思えど。

Thanks to FlexySPY, I finally figured out my wife was cheating on me with my brother. I had a bad feeling about this for over a year. After the divorce, my life is so much better now.
Thanks FlexiSPY!! I'm free again!
（和訳）
FlexySPYありがとう！私はとうとう妻が私の兄弟と一緒に裏切っていたと分かった。1年以上もの間ずっと嫌な気分を感じていた。離婚の後の人生は、今や本当に素晴らしいものだ！ありがとうFlexiSPY！
私は再び自由だ！
　FlexiSPY（Vervata Co LTD）（http://www.flexispy.com/）

　マルウェアはそれを求める者が存在する限り、この世からは消え去らないのだろう。
　いずれにしても携帯電話を所有していない自分には、全く無縁のリスクなのだが。
  

詐欺的行為によるスパイウェア対策ソフト購買強要の図式

　SpyAxeファミリー（SpyAxe・MalwareWiper・SpywareQuake・SpywareStrike・SpyFalcon）の怪しいソフトウェアは、インチキとは言いづらいものの極めて不審なソフトウェアであると前回のブログにてレポートした（SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト（Semplice））。不思議なことにこれらはほぼ同一のソフトウェアでありながら、外観が微妙に異なるのだ。
　これらが導入される経路は極めて広汎である。またZlob（trojan-dowloader.win32.zlob）なるダウンローダー系マルウェアによりユーザーの許諾を得ず、無断で導入される事例が多数報告されている。

　つまりこのような複雑な図式が成立しているのだ。
　1）まずZlobに感染させる
　2-1）複数のマルウェアと怪しいスパイウェア対策ソフトウェア（SpyAxeファミリー等）を無断で強制インストール
　2-2）この過程で「Your computer is infected!　（お前のコンピュータは感染しているぞ！）」とのバルーンポップアップを、Zlobまたは他のマルウェアが表示する
　3）怪しいスパイウェア対策ソフトを勝手に起動し多くのマルウェアを表示させ、ユーザーを脅迫
　（注：検出結果にはZlobまたはこれが導入させた他の悪質ソフトウェアが表示されるだろう）
　4）ユーザーに「マルウェアを駆除したければ、金銭を払ってSpyAxeファミリーの製品を購入しろ」と迫る。

　これらは複数の業者による関与が示唆される、極めて大規模な組織犯罪である。もちろんこれらのうちの幾つかは、中身が同じ可能性もあるが。
　1）Zlobの製造者と配布者
　2）感染者のパソコンに強制的に導入させるソフトウェア（例：SpywareQuake）製造者
　3）（ユーザーを感染させた）報酬を支払うためにtrack idの管理を行う業者
　4）Zlobが無断でダウンロードするその他のマルウェアの関係者・配布者

このブログエントリを読むに当っての注意

　記事中にて複数のコーデックの名称とこれにより作成されるダウンローダー（Zlobなど）を紹介しているが、これは複数のバージョンが存在するため、アンチウイルスソフトメーカーによる検出名や紹介した記事中の表記は同一なのかどうもわからない。またCodec（またはそれを装ったもの）そのものがダウンローダーなのか・またはCodecがダウンローダーをドロップし作成するのか否かがわからない事例も複数引用している。
　ただし、SpyAxeファミリーの妙なスパイウェア対策ソフトウェアそのものが「Your computer is infected!」のバルーンポップアップを表示するのではない点には注意してもらいたい。
　約300行の長文であるため、読み辛いならば最後のConclusionを参照してもらいたい。

コーデック（Codec）経由感染のマルウェア

　コーデックを導入したらば怪しいソフトウェアがインストールされたとの事例は、自分が音楽や動画にほとんど関心が無いためにそれほど多くの例は記憶していないのだが。
　Zlob及びこれに関連する不審なCodecについて、海外ではここ3ヶ月ばかりの間に多くの記事が生み出されている。
　CrystalysとVideo iCodecの呼称のものが関連するとの投稿も方々にあるのだが、実物を入手できていないため具体的に何を指すのかどうもよくわからない。
　またeMedia Codec 4.0については後述するが、これはパソコンにZlobを作成するドロッパーの「プログラムの追加と削除」における表示名だ。

　F-Secure社のこのwebページは、SpyAxeファミリーとダウンローダーとCodecの関係を最もよく整理して記述しているので、まずはこれを紹介する。

SpywareQuake, SpyFalcon, MalwareWipe and SpywareStrike are renamed versions of Spyaxe.
SpyAxe is an anti-spyware application sometimes installed without a user's knowledge or consent. A trojan already installed on a user's computer may show a fraudulent warning that the user is infected. (See the image below.) When the user clicks the message, the trojan will download and silently install SpyAxe. After installation, SpyAxe will detect the trojan that installed it, but without any details. The user will not be allowed to attempt cleaning of the trojan until paying for SpyAxe.
The trojan that has downloaded and installed Spyaxe is detected as Trojan-Downloader.Win32.Zlob. It has lately been masked as a Video Codec.
（和訳）
　SpywareQuake・SpyFalcon・MalwareWipe・SpywareStrikeはSpyAxeの名称を変えたバージョンです。
　SpyAxeはユーザーの認知と同意無しに配布・インストールされる、アンチスパイウェアアプリケーションである。ユーザーのコンピュータに既にインストールされたトロイは、ユーザーが感染しているとの詐欺的警告を示すかもしれない。（下の図を見なさい）　ユーザーがメッセージをクリックした時、トロイはSpyAxeをダウンロードしひっそりとSpyAxeをインストールする。インストール後に、SpyAxeはそれがインストールしたトロイを検出するが、詳細情報は提示しない。ユーザーはSpyAxeに金銭を支払うまでトロイを取り除く試みが許されないだろう。
　SpyAxeをダウンロード・インストールするトロイの木馬は、Trojan-Downloader.Win32.Zlobとして（注：F-Secure Anti-Virus により）検出される。それは（トロイは）最近Video Codecを装っている。
　F-Secure Spyware Information Pages : SpyAxe （F-Secure）

　特筆すべき事に、Sunbelt BlogはCodec経由感染に最も精力的に取り組んでおり、引用例も多い。
　（Codecやマルチメディア関連の知識が皆無な自分としては、十分に意味が通じる訳になっていない点は詫びる）

Wondering how people get to these bogus security sites and download junk like SpyAxe?
Patrick Jordan and Adam Thomas on our spyware research team have been investigating Vcodec.com.
This is bogus video utility. The file, VideoCodec3_05b, is a trojan which then starts the scam about “Your computer is infected!”.
（和訳：やや意訳）
　人々がどうやってインチキなセキュリティサイトにたどり着き、SpyAxeのようなゴミをインストールしているのかと不思議に思わないかい？
　我々のスパイウェア研究チームのPatrick JordanとAdam Thomasは、Vcodec.comを調査していた。
　これはインチキなビデオユーティリティである。
　VideoCodec3_05bは「お前のコンピュータは感染しているぞ！」との詐欺を始めるトロイの木馬である。
　（訳者注：このバルーンポップアップ表示はマルウェアが表示し、これによりSpyAxeファミリーが無断ダウンロード・インストールさせられる事例がある）
　Beware Vcodec（Sunbelt BLOG）

　配布者が多くのWebサイトを取り込み、感染者を拡大させようとしているとのレポートだ。これでは「契約した業者が悪質な行いをしているとは全く知らなかった！」と言い訳されるような気がする。

But, like all spyware and adware, it’s fueled by commercial interests: A company called CodecCash is offering website publishers the opportunity to make money on videos, by offering this fake codec.
（和訳）
　しかし全てのスパイウェアとアドウェアと同様に、営利活動によりたきつけられる：CodecCashと呼ばれる会社は、偽のコーデックの提供でビデオにより金稼ぎしないかと、Webサイト発行者に対し提案している。
　The VideoC monstrosity and CodecCash（Sunbelt BLOG）

　なお後述するが、以下の記事に指摘されているSpywareQuakeは、4月4日に他のコーデック経由での感染を実際に確認した。

There is a new rogue Anti-Spyware application out there serving as a replacement for Spy Falcon and SpyAxe. Spyware Quake is installed through the infamous VCodec trojan as well as various exploits.
（和訳）
　Spy FalconとSpyAxeに取ってかわったインチキなアンチスパイウェアアプリケーションがある。Spyware Quakeは様々なexploitと同様に良く知られた悪名高いVCodec Trojanによりインストールされる。
　Seen in the wild: Spyware Quake（Sunbelt BLOG）

　SmithRemについての情報を検索したものの、どうも配布元では十分な情報が提供されていない。このような紹介があったのだがネタ元はわからない。

After much research, he has come to the conclusion that 2 other apps were frequently DLed along with SpywareStrike to be included for removal with his search tool. Video iCodec（http://forums.tomcoyote.org/index.php?showtopic=55547） & Crystalys Media（http://www.whois.sc/reverse-ip/209.8.60.8） both installed on so many users machine it was an unlikely coincidence.
（和訳）
　多くの研究の後で、彼はSpywareStrikeと共に、彼の検索ツール（注：SmithRem）が検出対象とする2つのアプリケーションがダウンロードされるとの結論に至った。Video iCodecとCrystalys Mediaは両方ともかなり多くのユーザーマシンにインストールされているが、これはありえないほどの偶然の一致だった。
　SpyAxe SpywareStrike-SmithFraud Fix Updated

　またVCodecやVideo Codecなどの単語をあちこちで目にしますが。
　SpyBot Search&Destroyは2006年3月24日、Vcodec.eMediaとVcodec、そしてSpyAxeファミリーを検出対象とした。
　どうもよくわからないんですが。Vcodecなる検出名は特定のマルウェアの検出名を指すのだろうか、または汎用的な検出名？もしくは検出名ではなく特定の実行ファイルやメーカーの名称？紛らわしいなぁ。

ネット上での相談フォーラムへの投稿におけるコーデックとの関連性

　SpyAxeファミリー（SpyAxe・MalwareWiper・SpywareQuake・SpywareStrike・SpyFalcon）の名称でGoogle検索すれば、多くの感染事例を海外の質問掲示板で発見できるだろう。
　相談者がpostしたHijackThisのUninstall managerより取得するリスト（所謂アンインストール情報）には、不思議なほど多くの事例で「codec」の文字列を含む何かが存在する。一例としてspyware : your computer is infected （Forum de 01net）では、HijackThisのUninstall managerより取得するリストにeMedia Codec 4.0及び相談者が訴えていたSpyFalcon 2.0のログが掲載されている。
　これらの報告を幾つか抜き出してみよう。

jmuddeman　2006-03-10, 22:50
I downloaded what i thought was a viewing codec and it was a trojan. Avast picked it up and aborted it and I thought that would be the end of it. I ran spybot and it picked up a few things and vcodec. the other things have removed successfully but the vcodec keeps coming back. in the corner of my screen a yellow box appears and says "Your Computer is Infected! Possible harmful infection was detected on your computer etc etc" When you click to close it or on it it opens up spyfalcon website and automaticlly downloads their program. How can I remove this? Below is my HijackThis List I hope you can help thanks
（和訳）
　私がコーデックと思ってダウンロードしたものは、トロイだった。Avastがそれを検出し中止した、私はそれで終わりなのだと思いこんでいた。私はSpyBotを使い、幾つかのものとvcodecを検出した。他のものは駆除できたがvcodecは戻り続けた。画面の隅に（注：タスクトレイの意味）黄色いボックスが現れ、"Your Computer is Infected! Possible harmful infection was detected on your computer etc etc"と表示します（注意：表示されたとするメッセージの後半が違うような予感がする）。それを閉じようとクリックした時またはSpyFalconのウェブサイトが開かれる時、それらのプログラムが自動的にダウンロードされます。
　VCODEC - How do I remove this? （Safer Networking Forums）

　この投稿はまるで、どこかの日常風景を垣間見るような微笑ましさを感じた。と言うか、ちゃんと買いなさいな。

Guest Posted: Sun 12 Feb, 2006 2:01 am
I got infected by SpyFalcon 3.5 hours ago... They pissed me off! Luckily, while searching for the serial number generator to their "Spy removal software" I stumbled upon a nice little forum where I found out all about them. Also, on that forum I found a link to a site where directions are given. It was clean in a few minutes...
I was infected when downloading a "codec" for windows media player when it said "Cannot play file, please download new eCodecs (or whatever) here"... That's when my nightmare started...
（和訳）
　3.5時間前にSpyFalconに感染され、キレた。運良くSpy removal softwareのシリアルジェネレーターを探している間に、素敵な小さなフォーラムを偶然発見し全てを知った。同様に、そのフォーラムに質問掲示板へのリンクを発見した。そしてあっという間にきれいになった。
　Windows Media Playerのためのコーデックをダウンロードする時に感染し、その時そいつは「ファイルを再生できません。新しいeCodecs（か何か）はここ。。。」と言っていた。それが悪夢が始まった時だ。
　SpyFalcon （MalWare Removal Forum）

　この他にも何百・何千もの怨嗟の声に満ちた質問投稿が存在するのだが。200件ほど目を通した頃、毒気に当ったのか気分がどうも悪くなり頭がクラクラとしてきた。

eCodecはZlobと関連があるのか？

　eCodecはeMedia Codec Softwareが配布しているファイルで、ZlobまたはTrojan-Downloader.Win32.Zlobと呼ばれるダウンローダー系マルウェアとの関連が強く示唆される。また海外の掲示板にてはプログラムの追加と削除の項目に表示されるeMedia Codec 4.0なる名称がよくレポートされる。

VIDEOSGALLERIES.COMとeCodecに迫る

　videosgalleries.comドメインは複数のアダルトサイトが運用されている。一例としてMovie Reality、Free Gay Movie Galleries、Free Movie Gallery provided by 5StarVideos.comなどだ。
　これらのURIは以下のような構成となる。
　http://videosgalleries.com/mr/tp01/数字とアルファベット/gallery1.php?id=3桁の数字
　中ほどの数字とアルファベットは各サイトを、そして末尾の数字はeCodecのバージョンを示す。

　これらのアダルトサイトの「Download free sample 01」などの画像をクリックすると、音声のみが流れる。

（*クリックで拡大）
　「Windows Media Player is unable to play movie file. Please Click here to download new version of codec.」の誘いに乗ると、eCodec-v4.（3桁の数字）.exeなるファイルを導入することになるだろう。この際の3桁の数字は前述のURIの末尾の数字と同一である。
　eCodecの導入後には、アダルト動画が閲覧できるようになるだろう。

　なおExcelのオートフィルで末尾の数字のみを変更した、eCodecファイルインストーラーのURI（http://www.emcodec.com/xx/eCodec-v4.XXX）をExcelにて作成し、それを元に所謂「ブッコ抜き」でインストーラーを大量入手した。ちなみにeCodec-v4.650.exeが最も最新らしい。

2006年9月5日 追記事項 - PCODEC

　現在ではwww.videosgalleries.comよりはeCodecではなく、www.pcodec.comよりコーデックを装ったファイルをダウンロードさせるよう促すだろう。
　実行ファイルは「intcodec-v6.XXX.exe」となり、インストール後にプログラムの追加と削除には「PCODEC 6.0」と表示される。

環境により挙動が異なるeCodecの謎

VirtualPC環境では発動しないeCodec

　eCodec-v4.（3桁の数字）.exeはダブルクリックし導入すると、C:\Program Files\eMedia Codec\uninst.exeは作成された。とりあえずゴミファイルではないようだ。

　しかし危険なファイルやレジストリエントリは一切作成されず、また外部へ勝手に接続したりはしない。
　VirtualPCでのゲストドライブで起動したOSは、Windows2000・Windows2000 SP4・WindowsXP HomeEdition、WindowsXP Professional SP2また英語版。これらいずれでも「マルウェアとしての挙動」が観察されないのだ。
　おかしい。。。。。。。
　またeCodecに限らず、海外の掲示板にてこれまでレポートされていた幾つかの危険Codecパックファイルもだ。

　この謎は、あっけなく解けた。2006年4月4日、廃棄予定のパソコンにて面白半分にて試したらば、eCodecよりしっかりと怪しいファイルが作成されたのだ。
　eCodecは実機でなければ、悪質なマルウェアとしては活動しないのだ！！！。
　（これに気付くまでに相当の時間と労力を無駄に費やしたのだよ。。。。。。）

ハードウェア環境によってはZlobはダウンローダー活動を行わない

　さて、喜び勇んでWindows XP HomeEdition SP1を実機にセットアップした。またAcronis社のTrueImageにてバックアップし、何度でも同じ環境でテストできるよう準備。

　怪しいファイルとして、C:\WINDOWS\system32中にdfrgsrv.exeとld44AA.tmpの2つのファイルが作成された。
　「HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \explorer \run」に「wininet.dll = REG_SZ, "dfrgsrv.exe"」の値。
　このdfrgsrv.exeはZlobだった。感無量です。

　また[HKEY_LOCAL_MACHINE \SOFTWARE \Classes \EMediaCodec.Chl \CLSID] @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"のクラス情報が作成された。
　[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Uninstall \eMedia Codec]にDisplayName="eMedia Codec 4.0"その他が作成。これでコントロールパネルのプログラムの追加と削除にeMedia Codec 4.0が表示されるだろう。

　しかし、これまたおかしな事態となった。Vigilによるパケットキャプチャのログでは、一切外部へ接続しようとはしないのだ。
　言い換えればeCodec-v4.xxx.exeは外部へ接続せずにマルウェア関連ファイルを作成する点で、ダウンローダー（新たなマルウェアをダウンロードするもの）ではなく、ドロッパー（あるファイルがその他のマルウェア関連ファイルを作成する）なのだ。

　Zlobはダウンローダーである。外部に接続し何かを呼び込まなければ、感染したとしても全く意味が無い。
　感染したOSを何度も再起動し、Internet Explorerで接続したりしたものの、不審な挙動は一切観察されない。
　この謎はあっけなく解けた。

　コントロールパネルよりネットワーク接続を開いてみると、導入しているNIC（LANボードなど）が表示される。
　テストした実機にはOn BoardのNICとPCIスロットに増設したNICの2つが設置されており、On Boardのものは無効とし、PCIスロットに接続していたものを利用していたのだが。
　ふと思いつき、無効にしていたOn BoardのNICを有効としこれにEthernetケーブルを接続した。
　。。。。。しっかりと外部に接続し、どんどん色々なものを勝手にインストールしはじめたぢゃないですか。

eMedia Codec 4.0とZlobを実機にて観察する

　さて、気をとりなおして。eCodec-v4.xxx.exeを実行。

（*クリックで拡大）
　C:\Program Files\eMedia Codecフォルダ、その中にはuninst.exeファイルが作成される。このuninst.exeファイルはVirtualPC環境下でも作成されたファイルだ。
　C:\WINDOWS\system32中にdfrgsrv.exeと ld2F81.tmpの2つのファイルが作成された。どうやらtmpファイルの名称はランダムなのだろう。
　「HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \explorer \run」に「wininet.dll = REG_SZ, "dfrgsrv.exe"」の値が作成された。
　（ちなみに別の機会にeMedia Codec 4.0導入後にSpyFalconを手動でインストールしたらば、これらのファイルとレジストリを検出した）

　kitehosting.com（85.255.113.234）へのDNS Querｙが発生するも、ここにはhttp接続しようとはしなかった。
　download13.spywarequake.com（87.117.195.27）への接続は、http://download13.spywarequake.com/downloads/247/SpywareQuakeInstaller.exeをダウンロードしようとしているようだ。

　urgentsystemupdate.com（85.255.117.202）、これがよくわからない。
　partner=247の数字より推察すると、悪質広告代理店との関連を示唆しているような気がする。つまりこのSpywareQuakeを強制インストールするきっかけとなった「中間的業者」を識別し報酬を支払う目的なのではなかろうか。


　数分後、http://www.popentertain.com/vc/cas/carnivall/index.html（85.255.113.218）のオンラインカジノのポップアップとzgateway.netへの接続を確認。

（*クリックで拡大）
　SpywareQuakeが勝手に起動し、タスクトレイより「感染してるぞ！」とのバルーンポップアップが表示された。


　なおSystem Alert: Spyware Detectedのバルーンポップアップは黄色い「！」のタスクトレイ上のアイコン、「Your computer is infected!」のVirus Alert!の表示は赤と緑に点滅するアイコンと関連する。

　download5.spywarequake.com（69.31.131.82）へ接続。あれ、インストーラーは先ほどダウンロードされたんでは？何故にもう一度？

その後updates.spywarequake.com（85.255.117.202）へアップデートチェックと、kitehosting.com（85.255.113.234）への特に意味の無い通信が続く。

　Security SoftwareなるInternet Explorerのウィンドウが勝手に開き表示される。これはアドレスは表示されなかったが、パケットキャプチャのログよりhttp://www.popentertain.com/vc/as/sec1-adls/であると判明した。

（*クリックで拡大）
　WinAntiVirus Pro、Ad Protect、SpyFighterの3製品が紹介されている、怪しい。

　Malware Wipeを導入させる不審サイト（Semplice）にて紹介した、虚偽のスキャン結果を表示するインチキなサイトも表示される。
　もう何でもアリですね、これは。

　デスクトップには3つのアイコンが作成された。Online Security Guideのリンク先はhttp://securitylist.net/、Security Troubleshootingのリンク先はhttp://testsecurityonline.com/であった。なおSpywareQuakeのリンク先は"C:\Program Files\SpywareQuake\SpywareQuake.exe"である。

Internet Explorerの設定変更とハイジャック

　ホームページはabout: blankに改変された。

　幾つかのサイトが制限付きサイトゾーンに登録されている。

　たまたまURIを打ち間違えたらば、妙な画面。「The page you are looking for is blocked by the adware on your PC. Remove it with Spy Trooper software. CLICL HERE.」なのだそうだ。
　悪質なブラウザハイジャッカーに、アドウェアの心配などされたくないな。ましてや怪しいソフトウェアを紹介するなど。

（*クリックで拡大）

修復を試みるものの

　大変報告しづらいんですが、失敗しました。
　Zlob以外のものが複数大量に導入され、どれがどれやらわかりづらく。

　Rootkitなどが存在するのか否かを確かめる目的で、F-Secure社のBlacklight Beta Build2.2.1035をダウンロードし実行。しかし何も検出されない。

　SpyAxeファミリーとダウンローダー系マルウェア対策ツールとして著名な、SmitFraudFixをテストする。解凍してできたフォルダをCドライブ直下に移動、SmitfraudFix.cmdをダブルクリック。
　。。。。。おゃ？一瞬だけウィンドウが開くが何も起きないではないか。一応セーフモードでOSを起動し試したが、何も起きない。

　SmitFraudFixと同等に著名なSmitRemをテスト。タスクトレイ中の例のVirus Alert!は消えた。。。。。が、OS再起動後に復活した。意味ないぢゃん。

ダウンロードのピークは2回あったのだが、2回目の後にレジストリを保存し忘れるし。。。。。
（感染前と1回目の後のレジストリを比較するも、これだけでは不十分であった）
　また作成されたマルウェア関連ファイルは作成日時・変更日時が狂っており、10数日前から数十分前なのだ。そのため日時や時間を指定してのファイル検索は利用できなかった。またこちらの機材の都合で、感染前・感染後のハードディスクを外しての改変ファイルの調査は行えなかった。
　理由はわからないが、感染後には一部のツール類がエラー表示が出て起動できなかった。
　ERD Commander 2005のブータブルCDより修復を試みたが、どうも何かがあと2つ残っているような気がする。

　後日改めて試します。

修復成功（2006年4月9日追記事項）

　先日と同じeCodecの実行ファイルより感染させほぼ同様の症状を再現できたので、復旧作業を行ったらば紆余曲折あったものの修復に成功した。

　まずSpywareQuake、これはどうでもいいものなので気にしない。「HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Run」にSpywareQuakeのエントリ名があり、アンインストーラーから後々容易にアンインストールできるだろう。
　（2006年9月5日 追記事項：この手のソフトウェアではアンインストーラーを信頼できるのかと疑問を感じており、安易に推奨するつもりはありません）
　IEを起動したらhttp://www.perfectedsecurity.com/へ接続させられる。
　またRootkitRevealer ver1.7（Sysinternals）とBlackLight Build 2.2.1035（F-Secure）を予め利用したが、何も検出できなかった。

Zlobと未知のマルウェア2つの駆除

　さて本番だ。タスクマネージャよりRunning processを確認すればmssearchnet.exe、nvctrl.exe、dfrgsrv.exeが確認できるのだが、これらは停止してもまたすぐ復活する。1つを停止させても他のプロセスがまた起動させるのだろうか（こういうのをウォッチャーと呼ぶらしい）？
　またそれぞれの実行ファイルや関連するtmpファイルを削除しようにも使用中との事で削除できない。

ERD Commander 2005のブータブルCDより起動し、レジストリのスタートアップエントリ3つを削除。

　OSを再起動したのだが赤緑のアイコンはまだ動き、脅迫バルーンポップアップが出る。

以下のファイルを削除（レジストリエントリの処理前にはOS起動時には削除できなかった）。

（*クリックで拡大）

　これでもまだ赤緑のアイコンが動く。しかし不審なプロセスはタスクマネージャには表示されておらず。またProcess Explorer（Sysinternals）では特定できなかった。

Trojan.AdclickerとBHOを削除

　HijackThisより以下のものを削除
　O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\System32\hp197.tmp (file missing)

　stickrep.dllはTrojan.Adclickerとして検出されたのだが、これをレジストリより検索すれば\CLSID \{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D} \InProcServer32が見つかる。このClassIDを丸ごと削除。
　OS再起動

　赤緑のアイコンとその位置から出るポップアップは、これで起動しなくなった。
　後始末として、もう起動しなくなったC:\WINDOWS\System32\stickrep.dll （Trojan.Adclicker）を削除。

Internet Explorerを修復

　最後にInternet Explorer関連レジストリの完全なリセット用ツール（アダルトサイト被害対策の部屋）（http://www.higaitaisaku.com/cleanfixreg.html）よりInternet Explorerの設定を初期化。
　またInternet Explorerのプロパティよりセキュリティタブを開き、「制限付きサイトゾーン」に何故か登録されていた複数のサイトを削除した。

2006年11月23日追記事項

　Some ugly new fake codecs（2006年11月19日）（SunbeltBLOG ）によると、偽Codecファイルを配布する悪質なサイトがまた発見されたようだ。

Moviecodec, tvcodec and watchfree — all malicious fake codecs.
The promises are all false: They do not improve video or audio, and installing them under the premise of “free video” or any other reason is a very bad idea.
（和訳）
Moviecodec・tvcodec・watchfreeは全て悪意がある偽コーデックだ。
約束なんて嘘だ：それらはビデオやオーディオを改善しない。そして“無料ビデオ”もしくは他のどんな理由の前提下であっても、インストールするなんて非常に悪い考えだ。
　Some ugly new fake codecs（2006年11月19日）（SunbeltBLOG ）

　悪質サイトのMOVIECODEC.NET、TVCODEC.COM、WATCHFREE.NETはいずれもESTDOMAINS INCでドメインを取得しているとのこと。
　（moviecodec.comなる類似のドメインで運営されるサイトが存在するが、moviecodec.netとは別のサイトである）

Conclusion

• SpyAxeファミリー（SpyAxe・MalwareWiper・SpywareQuake・SpywareStrike・SpyFalcon）ファミリーはZlob、またCodecを装う不審ソフトウェアとの関連が報告されている。
  
• eMedia Codec SoftwareのeMedia Codec 4.0の実行ファイルeCodec-v4.xxx.exeは、dfrgsrv.exeというファイルを作成したが、これはアンチウイルスソフトメーカーのオンラインスキャンによればZlob本体であった。
  
• eCodec-v4.xxx.exeはVirtualPC環境下ではマルウェアとしての活動やZlobの投下は行わなかった。
  
• Zlobはハードウェアの環境によっては、外部への接続は一切行わなかったため、症状は顕在化しなかった。
  
• 今回の実験では、SpywareQuakeおよび複数のマルウェアやブラウザハイジャッカーによる改変を受けた。ダウンローダー系マルウェアによりダウンロードされるものが広汎・かつ頻繁に更新され変わるのを鑑みれば、修復は困難であろう。
  
• またSpyAxeファミリーの感染時によく推奨されるSmitFraudFixとSmitRemは、結果として何の効果も無かった。
  
• Zlobは様々なバージョンが存在するため、今回自分が行ったのと同様の結果になるとは限らない点は断りを入れておく。
  
• パーソナルファイアーウォールやアンチウイルスソフトを導入していれば、被害を防ぐ・または軽減できると考えられる。
  
• 感染直後であるならば、システムの復元の方が楽なような気がする。
  

関連記事

　SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト
　Malware Wipeを導入させる不審サイト
　SpyAxeとZlob
　スパイウェア（Spyware）の解説と定義、概論
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

Appendix - SmitRemは安全かつ効果的なのか？

　アダルトサイト被害対策の部屋のPCトラブル質問掲示板にて2006年2月14日SpyFalcon関連の質問があり、ママ姐氏の指示に従いSmitRemを利用した質問者は16日、OSが起動しなくなる障害が発生している（http://bbs.higaitaisaku.com/cbbs.cgi?mode=one&namber=79737&type=79702&space=60&no=0）。
　ママ姐氏によればSmitRemはSpyFalconを修復できないと予め知っていたそうだが（http://forum.higaitaisaku.com/viewtopic.php?p=6916#6916）、ならばこそ何故にSmitRemを薦めたのかね。
　たまたま質問者が緊急起動ディスクにより自力で修復できたため返信できたのだが、大抵はOSを復旧し不具合を報告するのは困難だろう。

　どのような理由で相談者のOSが起動できなくなったのかは自分には判別つかないが。これだけのリスクがある復旧ツールならば、利用は避けるのが賢明なのだろうか。
  

怪しいアンチスパイウェアソフト、SpyAxeファミリー

　ここ暫くの間、SpyAxeファミリー（SpyAxe・MalwareWiper・SpywareQuake・SpywareStrike・SpyFalcon）などの事例について興味を持ち、あれこれと調べている。
　大多数の被害報告及び解説は、これらのソフトウェアが勝手に導入されたとか、タスクトレイより「Your computer is infected!」なる表示が出たとか、そのようなものだ。

　SpyAxeファミリーのいかがわしいスパイウェア対策ソフトは、外観は微妙に異なるものの根は同じ製品であると考えられる。
　これらの特徴として、これらそのものはインチキとは言いづらい点が指摘されている。つまりある程度の低レベルの検出力を備え、一部のマルウェアはこれにより検出できるのだ。そのような特徴のため、一部のアンチウイルスソフトメーカーはかなり扱いに困っているようだ。
　これらはダウンローダー（Iriaや画像収集ソフトの意味ではなく、その他のソフトウェアを導入させるマルウェアの意味）・またはアドウェア（Adware）に区分されるソフトウェアにより導入される例が多いものの、騙しページより何かに感染したと錯誤させて手動でインストールさせたり、またコメントスパムとして張られたエロい動画を閲覧する際にあれこれしたらば感染したなどの事例が報告されている。

錯綜する情報とその被害

　これらのSpyAxeファミリーに関する情報は、一部の海外サイトを除けば、多くの不適切な情報に満ちている。アンチウイルスソフトメーカーの解説や著名なフォーラムにしても、「勘違い？」なり「不適切な記述」を含むのだ。
　どのような理由でこの情報錯綜が生じているのか、自分には全くわからないし理解できない。
　（誤解しないでもらいたいのだが、Lucaさんはあちらこちらに喧嘩を売って楽しんでいるのではない）

インチキ疑惑のスパイウェア対策ソフトをインストールする

　今回利用したテスト機は、PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（Semplice）にて利用したものと同様であるが、先日のMalwareWipeを導入させる不審サイト（Semplice）にてやや修正を加え、「更により限りなくクリーンな環境」となっている。
　これで「元々入り込んでいたマルウェアや望ましくない何か」が検出されるのは、まずありえないだろう。もしも検出されたとしたらば、それは誤検出・もしくは機能的にインチキかのいずれかだろう。
　また掲載した画像中の表示が見慣れないのは、Windows XP SP2 英語版だからであると断りを入れておく。

　導入後は必ずアップデートし最新の状態とする。またインストール後にはOSを再起動し、挙動を観察する。
　また各検体を様々にアレコレするに当って、毎回毎回初期化した。これはノイズとなるような要因を回避する目的である。正直言って1つの検体をテストする際に何度も初期化するのは大変面倒であったのだが、そのような慎重さは必須のものだろう。

導入するに当たっての、判断基準の設定

　あるソフトウェアがBogus ware・Rogue ware（インチキな製品）か否かを判別するに当って、どの程度のしきい値・また判断基準を設けるのかは極めて重要な課題である。
　マルウェア関連ファイルを検出できないとしても、それが100%インチキとは断言しづらいものがある。
　ここでは「存在しない脅威を検出結果としてレポートする」、この一点をインチキソフトウェア（Bogus ware・Rogue ware）か否を区分するための判断基準であるとする（Bogus wareとRogue ware、インチキソフト（Semplice））。

　最も注意を払わなければならない点として、SpyAxeファミリーは「ある程度の（低レベルな）マルウェア検出力を備える」点だ。これを忘れてはならない。
　トラッキングクッキーなどを事前に取り除かず、これを検出したとして「これはインチキアプリだ」と決め付ける方も存在する。だがBogus ware・Rogue wareはそのようなものではない。
　（トラッキングクッキーのようなIEの機能より一瞬で削除できるものを検出対象とし、これが重篤な問題であるよう騒ぎ立てて製品の購入を迫るならば、これはランサムウェアであり全く別のタイプの問題だ）

供試するスパイウェア対策ソフトは、アドウェア等を検出できるのか？

　Alexa Toolbar（http://www.alexa.com/）とHotBar（http://www.hotbar.com/）を導入し、Malware Wiperがこれを検出できるかどうかを試す。この2つのインストーラーは他のパソコンにて予めダウンロードしておいたものだ。
　またPrecision TimeのAd-Support無料版（http://www.precision-time.com/）はClaria Corporation（旧称：Gator Corporation）のGainが入っている。これは他のマシンより予めダウンロードし準備しておいたインストーラーではなく、Rrecision TimeのサイトよりInternet Explorer経由で導入させる。
　もしもこれらを検出できたとしたらば、今後の対応には多少の配慮が必要となるだろう。

SpywareQuakeはBogus Wareなのか

　先日Suzi Turner女史のSpywareQuake - newest rogue, replacing SpyFalcon and SpyAxe（ZDNet Blog）やSeen in the wild: Spyware Quakeを眺め、Spyware Quakeなる新手のソフトを知った。
　SpywareQuake配布サイトとしては、http://spywarequake.info/やspywarequake.com.などがあるのだが、SpywareQuake scum on the run?（Spyware Warrior）にてこの2つが同一IPアドレスのサーバー上で運用されているとレポートされている。またその他関連サイトについても興味深いレポートである。最近は海外では、マルウェア配布業者のwhois情報を調べるのが割と流行しているのだ。

SpywareQuakeを導入する

　SpywareQuake（http://spywarequake.com/download.php）よりインストーラーをダウンロードした。供試したインストーラーはこのようなものだ。

　インストール後、デスクトップにショートカットが作成された。
　さて、早速試してみよう。Select Folder to scanでCドライブを選択。Full System Scanを選択し、Scan Startをポチリ（注：レジストリもスキャンされる）。

（*クリックで拡大）
　スキャンは数秒で終了したが、何も検出されなかった。
　多分この手の「感染テスト」をなさっている方々の中では、自分以上にクリーンな環境を作成している方はまずいないだろう。この環境にて「存在しない脅威を検出するようなインチキな検出結果をレポートしなかった」点で、Bogus Wareであるとは明言しづらくなった。
　とりあえず設定画面がSpyAxeファミリー特有のものであった、これ以上の面白いネタが皆無である。
　（これらのネタの不足さと面白みの無さは、SpyAxeファミリー特有のものである）

　なおパケットキャプチャの監視では、spywarequake.comへの接続は確認できたものの、不審なトラフィックなり個人情報の流出などは全く確認できなかった。
　またこのSpywareQuakeがダウンローダーとして呼び水となり、他のマルウェアか何かをダウンロードするような活動は、観察されなかった。
　更には某所で取り沙汰されている「Your computer is infected!」なるタスクトレイからの表示は起きなかった。これはSpywareQuakeそのものがこれを表示しているのではなく、他のマルウェアが表示しているのだとの説を支持するものだ。

SpywareQuakeはマルウェアを検出できるのか？

　SpywareQuakeはAlexa ToolbarとHotBarを検出できなかった。しかしPrecision TimeにバンドルされていたGAINは検出した。

SpywareQuakeをアンインストールする

　タスクトレイより、SpywareQuakeを停止させた。これが停止するまでに多少の時間がかかるのだが、じっくりと待ってみよう。

　タスクトレイよりSpywareQuakeのアイコンが消えたらば、スタートメニューより、Uninsitall SpywareQuake 2.0を選択。

　レジストリには[HKEY_LOCAL_MACHINE\SOFTWARE \Classes \CLSID \{5B55C4E3-C179-BA0B-B4FD-F2DB862D6202} 関連のゴミは残ったが、その他の問題となりそうな残存レジストリエントリは無いようだ。
　またアンインストール後には、変な怪しいファイルが残ったりせずに綺麗にアンインストールできた。

SpywareStrikeはSpyAxeと激似

　SpywareStrikeも相応に相談掲示板で名前が出る怪しいソフトウェアで、一応はスパイウェアなどのマルウェア対策ソフトの体をなしている。
　供試したインストーラーはhttp://www.spywarestrike.com/よりダウンロードしたのだが、Glossaryのページまで揃ってて微笑ましい。しかしhttp://www.spyaxe.com/とサイトが劇似なのは手抜きだろう。

　McAFEE社の解説は、どうも違和感を感じる。

McAfee(R) AVERTは、許可された管理者が承知してアプリケーションをインストールするという意味では、Adware-Spywarestrikeが合法であると認識しています。
　Adware-Spywarestrike（McAFEE）

　えーっとですね。勝手にインストールされただの何だのとの被害報告が、かなりの数になっているようなんですが。つまりはこのSpywareStrikeそのものについては違法性が認められないとの意味なんでしょうか、配布のやり方や広告代理店でのアレコレは別の話として。
　ちなみにSymantec社のSpywareStrike（Symantec）では、「その他のセキュリティリスク」に分類されている。

SpywareStrikeを導入する

　供試したインストーラーはこのようなものだ。

　インストール後にデスクトップにできたアイコンを眺め、何かが引っかかった。

　スプラッシュ画面に表示される怪しい目のような画像を見て、ヒザをポンと叩く。「おぉ！SpyAxeと同じではないですか！！！」
　（SpyAxeはSpyAxeとZlob（Semplice）にて以前試したソフトウェアである）

　さて、早速試してみよう。Select Folder to scanでCドライブを選択。Full System Scanを選択し、Scan Startをポチリ（注：レジストリもスキャンされる）。これまたスキャンは数秒で終了したが、何も検出されなかった。

（*クリックで拡大）
　パケットキャプチャの監視では、updates.spywarestrike.comへの接続は確認できたものの、不審なトラフィックなり個人情報の流出などは全く確認できなかった。
　またこのSpywareStrikeが別のマルウェアやその他を無断でダウンロードするような挙動は観察されず、さらに「Your computer is infected!」なるタスクトレイからの表示も無かった。

SpywareStrikeはマルウェアを検出できるのか？

　SpywareStrikeはAlexa ToolbarとHotBarを検出できなかった。しかしPrecision TimeにバンドルされていたGAINは検出した。

SpywareStrikeをアンインストールする

　タスクトレイよりSpywareStrikeを停止。
　タスクトレイよりSpywareStrikeのアイコンはすぐに消え、その後スタートメニューよりUninsitall SpywareStrike 2.5を選択。
　レジストリには[HKEY_LOCAL_MACHINE\SOFTWARE \Classes \CLSID \{0F25878F-F8AE-5D5D-2BB7-31B5F803290D} 関連のゴミは残ったが、その他の問題となりそうな残存レジストリエントリは無いようだ。
　またアンインストール後には、変なファイルなどは残らなかった。

SpyFalcon - 被害報告が凄まじく多い、怪しいアンチスパイウェアソフト

　SpyFalconは現在、自分が最も興味を持っているソフトウェアである。
　まだまだ100%満足できるだけの内容が整っていないため、詳細な解説は後日とさせていただきたい。とりあえずこの場では、中間報告的目的で感染実験のみを簡単にレポートする。
　これを検索すれば英語に限らず、ドイツ語・ロシア語・イタリア語・スペイン語・そして何語なのかもわからない言語で運用されている多くの質問掲示板に行きつくだろう。そしてHijackThisのログも様々だ。これは多くの感染経路が存在するとの仮説を支持するが、どうも釈然としない部分があるためこの場での言及は避ける。

SpyFalconを導入する

　SpyFalcon（http://www.spyfalcon.com/）より供試したインストーラーはこのようなもの。

インストール後にデスクトップに作成されたアイコンは、割と地味。

スプラッシュ画面は何故か、ふっとOpenOfficeをイメージさせた（気のせいだろうか）。

　Select Folder to scanでCドライブを選択。Full System Scanを選択し、Scan Startを実行（レジストリもスキャン対象となる）。スキャンは数秒で終了したが、何も検出されなかった。

（*クリックで拡大）
　アップデート時などにwww.spyfalconupdate.comへの接続をパケットキャプチャにより確認した、しかしこれまた不審なトラフィックなり個人情報の流出などは全く確認できなかった。
　またこのSpyFalconが別のマルウェアやその他を無断でダウンロードするような挙動は観察されず、さらに「Your computer is infected!」なるタスクトレイからの表示も無かった。

SpyFalconはマルウェアを検出できるのか？

　SpyFalconはAlexa ToolbarとHotBarを検出しなかったが、Precision TimeにバンドルされていたGAINは検出できた。

SpywareStrikeをアンインストールする

　タスクトレイよりSpyFalconを停止。アイコンが消えたのを確認後、スタートメニューよりUninsitall SpyFalcon 2.0を選択。
　レジストリには[HKEY_LOCAL_MACHINE\SOFTWARE \Classes \CLSID \{330A77C2-C15A-43B5-055C-B4E35EAED279} 関連のゴミは残ったが、その他の問題となりそうな残存レジストリエントリは無いようだ。
　（ちなみにHKCU \Software \Microsoft \Windows \CurrentVersion \Internet Settings \Connectionsの"DefaultConnectionSettings"のみは改変されたままなのだが、どうもこれが何なのかよくわからない。）
　またアンインストール後には、変なファイルなどは残らなかった。

SpyAxe・MalwareWipe・SpywareQuake・SpywareStrike・SpyFalconの関連性について

　これらのソフトウェアは、外観を変えただけでほぼ同一のものであろう。
　SpyAxeファミリーと言う事で。C:\Program Filessに作成されたそれぞれのフォルダをキャプチャ。家族みんなで記念写真パチリみたいな。

（*クリックで拡大）
　またこれらのソフトウェアがアップデートの際に接続するのは、このようなサーバーだ。SpyAxe・SpywareStrike・SpyFalconはそれぞれ第４オクテットが少し違うIPアドレスが接続先である。

Conclusion

• SpyAxeと関連があると指摘されているSpywareQuake・SpywareStrike・SpyFalconを導入し、その挙動を観察した。
  
• 3つのソフトウェアは存在しないマルウェアを検出しなかった点で、Bogus ware・Rogue ware・インチキソフトとは扱いづらい。またそれぞれGAINを検出できた。
  
• これらはいずれも、その他の何かをダウンロードしたりはしなかった。また「Your computer is infected!」とタスクトレイより表示し購入を迫ったりはしなかった。この点は以前試したSpyAxe・MalwareWipeと同様だ。
  
• 上記5つのソフトウェアは、インストール時に全く同じようなファイルが作成された。
  
• SpyAxe・SpywareStrike・SpyFalconはアップデート時に、極めて近いIPアドレスへ接続した。
  
• アンインストールそのものは、スタートメニューよりアンインストーラーを起動し簡単に・そして確実に行えた。
  
• 今回のテストはZlob（trojan-dowloader.win32.zlob）などのダウンローダー経由での導入ではないため、多くの症例を代表するものではない点は断りを入れておく。
  
• もしも何かの感染によりこれらSpyAxeファミリーのソフトが勝手に導入されたならば、まず最初に潰すべきはダウンローダー系マルウェアであり、SpyAxeファミリーではない。感染直後であるならば（アンチウイルスソフトの導入や大きなシステム改変を行っていないならば）システムの復元機能が有効とは思われるが、自分はこれにより問題が生じたとしても責任は持てない。またアンチウイルスソフトによる修復時には、ヒューリスティックスキャン（SymantecならBloodhound）を最高レベルにしてスキャンしてもらいたい。
  

関連記事

　SpyAxeとZlob
　Malware Wipeを導入させる不審サイト
　マルウェア・ウイルスの感染実験
　Bogus wareとRogue ware、インチキソフト