2007年10月28日 - WinAntiVirus Pro 2007は、mediaplex.comに不審なIDを送信する
インチキなソフトウェアとして著名なWinAntiVirus Proの新バージョン2007は、ハードウェア環境より取得し作成したIDを送信し、Windows OS固有のシステムファイルをマルウェアとして検出する。
要点だけ読みたい方は、末尾のConclusionを。
旧バージョンのWinAntiVirus Pro 2006は、日本人を積極的にターゲッティングしたために多くの被害者が生じた。これが国内における事実上の「Bogusware、Rogueware、インチキソフトウェア、または偽セキュリティソフト元年」である。
具体的な手口としては虚偽のスパイウェア警告より悪質サイトへ誘導し、「ブラックウォーム」なるものに感染していると騙す手口により被害が拡大した。他のマルウェアにより導入される事例もあるようだが、自分は十分には把握しきれていない。
初回のテストは2007年6月に行い、2007年9月8日より追試を行った。
テストに用いたのはVirtualPCのゲストOSで、Windows XP HomeEdition SP2日本語版インストール直後の状態である。
「誤検知」の可能性を防ぐ目的で、余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。この状態で「ウイルス、スパイウェア」が検出されるなどまず有りえない環境である。
今回供試したインストーラーファイルは、以下のものである。
WinAntiVirusPro2007FreeInstall_jp.exe
size=92368byte
CRC16=D5F3
CRC32=35C4BE67
MD5=523ad13c04b60a8bd89a3477efb8ba31
またプロパティのバージョン情報より、ファイルバージョン:1.3.96.1、製品バージョン:5.0.322.0の記載を確認した。
インストーラーファイルをダブルクリックした直後に、このような表示が出る。
既にこの時点で、adfarm.mediaplex.comとulog.jp.winantivirus.comに接続し、不審なIDを送信している。
GET /ad/bk/7412-39614-2054-4?install=1&mpuid=37457196xx HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: adfarm.mediaplex.com
Cache-Control: no-cache
GET /?action=1&type=exe&pc_id=37457196xx&abbr=UWA7PS_0001_N96M0206&err=err0_line0_lerr0_num1_try1_prev0 HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: ulog.jp.winantivirus.com
Cache-Control: no-cache
id=37457196xx(後ろ2文字は伏字とした)は、VirtualPCの同一バーチャルマシンであれば、何度インストール操作を試みても同一となる。
思いつきでVirtualPCのゲストドライブにおけるアダプタアドレス(MACアドレス)を一文字だけ変更してみると、勝手に送信されるIDは「15530177xx」に変わった。
アダプタアドレスより(またはその他の情報を併用し)何らかの方法でIDを作成し、送信しているようだ。
(インストールが完了すると作成されるファイル、C:\Program Files\WinAntiVirus Pro 2007\sr.logファイル中には、以下のログが1行記載されており、インストーラーがアダプタアドレス(MACアドレス)より作成したIDが保存される。)
http://ulog.jp.winantivirus.com/?action=23&abbr=UWA7PS_0001_322.1&pc_id=15530177xx&aid=keyin&lid=keyin&affid=keyin&cnt=&lng=
インストーラーファイルをダブルクリックした直後にadfarm.mediaplex.comにユニーク性が高いidを送信し、その結果としてトラッキングクッキーが作成される。
FileMonのログでは、トラッキングクッキーを作成するのはInternet Explorerではなく、WinAntiVirusProのインストーラーファイルである。
(FileMonのIncludeにて「CREATE」とただ登録して監視し発見した)
(*クリックで拡大)
SetされるCookieは「username@mediaplex.com/」だ、Domain属性はadfarm.mediaplex.comではない。
インストール直前の段階で、RegMonのログを眺めて不思議な点に気付いたのだが。
WinAntiVirusProは言語の設定やIEやネットワークの設定程度ならばともかく、必要以上のレジストリを何故か漁っているような気がする。
一例として「HKCU\Software\Opera Software」、もちろんOperaは導入していないためNOT FOUNDとなるのだが、違和感を感じる。
インストール中に裏ではadfarm.mediaplex.com、ulog.jp.winantivirus.comとdownload.cdn.winsoftware.com、trial.updates.winsoftware.comへ通信している。
インストール直後に行われるスキャンにては、脅威名:Trojan.Win32.DelAll.q、脅威の種類:Trojanが検出される。
これはWindows OSに元々備わっているC:\WINDOWS\system32.deldrv.exeを検出したものだ、もちろんトロイの木馬などではない。
この時点でのバージョン情報は、5.0.322.1である。
シグニチャファイルと推察されるC:\Program Files\WinAntiVirus Pro 2007\AWBase\database\enemies.datなるファイルは11.0 MB (11,559,869 バイト)だ。
アプリケーションアップデート、データベースアップデートを行いOSを再起動したが、プログラムのバージョンもenemies.datも変化が無かった。
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)、Claria Corporation(旧称:Gator Corporation)のGain入りであるPrecision TimeのAd-Support無料版(http://www.precision-time.com/)を準備した。
4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
インストーラーファイルをスキャンさせたが何も検出されなかった。
Alexa Toolbar、HotBar、ClariaのGatorはインストール操作中にリアルタイムスキャンにより検出された。
3721の場合、1ファイルがインストール中に検出され、その後に「ウイルス警報 あなたのセキュリティが突破されました!」なんて物騒なダイアログが出る。
その後にクイックスキャンではなく通常スキャンを実行。
「警告!!16重大な感染検出!!」と表示される。
世間にはファイルの名称のみをチェックしているBogus wareも存在する。中身が空であってもスパイウェアとして検出するようなものだ。WinAntiVirus Pro 2007ではどうだろうか?
GatorのBIC_GatorPT.exe(以前Precision Timeをインストールした際に作成されたファイルを保存しておいたもの)をコピーしようとすると、リアルタイムスキャン?によりAdware.Gator.6200.A382として警告が出た。
BIC_GatorPT.exeをCドライブ直下にコピーして貼り付け。再起動直後のインスタントスキャンまたは通常スキャンにてAdware.Gator.6200.A382として検出された。
C:\Program Files\直下に新規作成したテキストファイルをBIC_GatorPT.exeの名称にリネームした空ファイルを作成し設置しておいたが通常スキャンでもダブルクリックしても検出されなかった。
更には、他のソフトウェアで実行形式ファイル単体で動作するものをBIC_GatorPT.exeにリネームしたが、検出対象とはならなかった。
Cドライブ直下に「virus」と名づけたフォルダを作成し、Happy99.exe、notepad.exe(QAZ)、whatever.exe(Aliz)、marburg.scr(marburg)の4ファイルを設置。
かなり古いウイルスを供したのは、主たる目的が「ウイルスの検出能力があるのか否か」を検証する目的であるからだ。
通常スキャンの結果、いずれのファイルもウイルスとして検出できた。
またフォルダごとコンテキストメニューにてスキャンしても、4つとも検出できた。
(*クリックで拡大)
余談となるが、DelAllとはかつてWhiterなどと呼ばれたカテゴリのマルウェアであり、WinMXなどのファイル交換サービスを利用しているユーザーをターゲットとして広まった、ハードディスク中のファイルを上書きして消して復旧不能とするマルウェアを指すと推察される。
元々Windowsに備わっているdeldrv.exeなるファイルを誤検出の対象とした理由は、マルウェアの名称のDel(削除)にかけたものなのだろう。
(表示サイズの都合で空白部を詰めて加工した)
VirtualPCのゲストOSをセーフモードで起動。
Trojan.Win32.DelAll.qとして検出されるC:\WINDOWS\system32\deldrv.exeを予め削除しておく。
ウイルスではないのに誤検出されるシステムファイルを、事前に消して挙動を観察するためだ。
ゲストOSを再起動、今度は通常起動とする。
この状態でWinAntiVirusPro2007FreeInstall_jp.exeをダブルクリックしてインストールし、クイックスキャンが始まった。
「ウイルスが見つかりませんでした!」との表示。少なくともファイルの有無は確認しているらしい。
不思議な事に、deldrv.exeをデスクトップにコピーしてコンテキストメニューより個別にスキャンしても検出されないのに、C:\WINDOWS\system32中のdeldrv.exeを同様にスキャンするとTrojan.Win32.DelAll.qとして検出されるのだ。
(ちなみにいずれの場所であってもダブルクリック時には検出されない)
この結果には多少困惑した。Gatorは場所を問わず検出されたのにと。
2007年6月セキュリティホール memoにて掲載されていたURI、http://jp.winantivirus.com/download/2007/よりダウンロードを試みた。
2007年9月7日にダウンロードしたインストーラーファイルも同一であった。
「WinAntiVirusはウィルスの検索ために全体スキャンをおこなっています。」なのだそうだ。
実際にオンラインスキャンをしているように装うこの表示は呆れる。リロードする度に「検出された脅威」が毎回異なる数字になるのは手抜きだ。
(*クリックで拡大)
アドウェア類をテストした結果、元々WindowsOSに備わっているファイルを誤検出したTrojan.Win32.DelAll.qを除く15例に限定すれば、一応はアドウェア類をスキャンし検出できた。
またGatorによるテストの結果、名称のみで判断しているのではなく、またファイルの場所はどこでも関係無いらしい。
既存の偽ソフトウェア類の幾つかはファイルの名称のみで検出し、テキストファイルをリネームしただけの空ファイルであっても検出する事例があるのに比較すれば、まだ良心的だ。
対照的に、Windows OSに備わっているシステムファイルC:\WINDOWS\system32\deldrv.exeに対しては、全く異なる挙動を示す。
「Trojan.Win32.DelAll.q」と虚偽のレポートが表示される点のみが不審なのではない。
Gatorやウイルス類は場所を問わずどのディレクトリ中であっても検出される。これに対してdeldrv.exeはデスクトップや他の場所では何も検出されず、system32フォルダ中でなければ虚偽の検出レポートが表示されないのだ。
Cookieそのものはスパイウェアではない、だがハードウェアの情報より取得した値を無断で送信する際に同時にSetするCookieは、スパイウェアとしての活動と判断されてもさほど乖離は無いのでは。
大体、ハードウェアより取得したハッシュ値なんて外部に送信しなければならない理由が存在するのかと
送信されるIDとアダプタアドレスは桁数は異なり、16進法表記ではない。
だがアダプタアドレスは(普通は)同一のマシンは存在しないし。
一部を取り出して加工しユーザー識別の用途に供したとしても、コリジョンの可能性が極めて低いIDであるならば、接続元のIPアドレスまたはアドレスブロックの情報を併用すれば、十分にユーザー及びマシンの識別は容易なのではと。
WinAntiVirusProのインストーラーが表示した「続行」を押さずライセンス契約も承諾していないにも関わらず、勝手にユニーク性が高いIDを外部に真っ先に送信するのは、あまりにも不審である。
注視すべきは、Cookieの送信先であるMediaPlexは、WinFixer系のbogus wareと不思議と密接な関わりがある企業である。WinAntiVirusProシリーズもWinFixer系アプリケーションである。
一例としてMcAfee SiteAdvisor の Web 安全性評価では、ErrorSafeFreeInstall2_de.exe がhttp://img-cdn.mediaplex.com/(以下略)にて配布されていると報告されている。
MediaPlexは一応は、大手の広告代理店ではあるものの、裏の顔があるのだろうか。
EULA(使用許諾説明書)は http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007 より閲覧可能。
自分はこれまで幾つかのいかがわしいソフトウェアを踏んできたが、Internet Explorerの信頼済みサイトゾーンに登録するようなソフトウェアは、マルウェアやJWordを除けば、あまり例を知らない。
(ネット上にはJWordが「サイトを閲覧しただけで再感染した!」との事例が多々報告されているが、信頼済みサイトゾーンに登録されたのが理由と推察される)
WinSoftware Inc.がWindowsの脆弱性を利用するような悪質な罠ページを設置していたらば、Internet Exploreは信頼済みサイトゾーンたる基準が甘い部類にて判断するために、多くの危険なスクリプトが実行されてしまう可能性がある。
今回のテストにては、信頼済みサイトゾーンへの無断登録は確認できなかった。
検索エンジンにて「\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\winantivirus.com」を検索すると、幾つかの質問掲示板などに報告事例があるのだが、どうも他のマルウェアによる可能性が排除できないし、呼び水となるダウンローダー系マルウェアを発見できなかった。
そのためこれ以上の言及を避ける。
(信頼済みサイトゾーンへの登録については、IE-SPYADと制限付きサイト(Semplice, 2005年10月03日)と、JWordが勝手に・無断でインストールされる理由と経路の謎(Semplice, 2006年8月29日)参照のこと)
偽セキュリティソフトによる、動作しているふり、とは?(Lucablog, 2007年10月21日)
スパイウェアとみなす基準と、固有ID送信(LucaBlog, 2007年9月22日)
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係 (LucaBlog, 2007年9月15日)
彼らは1年ほどで1億5000万ドル以上も稼いだ - 詐欺ソフトウェアの販売(Semplice, 2007年3月11日)
偽ソフトウェアを機能面でなく、社会学的理由で注意喚起を促しても良いのでは(Semplice, 2007年1月16日)
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法(Semplice, 2006年4月15日)
WinFixer 2005による脅迫は自作自演(Semplice, 2006年1月21日)
Bogus wareとRogue ware、インチキソフト(Semplice, 2005年10月18日)
要点だけ読みたい方は、末尾のConclusionを。
旧バージョンのWinAntiVirus Pro 2006は、日本人を積極的にターゲッティングしたために多くの被害者が生じた。これが国内における事実上の「Bogusware、Rogueware、インチキソフトウェア、または偽セキュリティソフト元年」である。
具体的な手口としては虚偽のスパイウェア警告より悪質サイトへ誘導し、「ブラックウォーム」なるものに感染していると騙す手口により被害が拡大した。他のマルウェアにより導入される事例もあるようだが、自分は十分には把握しきれていない。
WinAntiVirus Pro 2007を導入する
初回のテストは2007年6月に行い、2007年9月8日より追試を行った。
テスト機の概要
テストに用いたのはVirtualPCのゲストOSで、Windows XP HomeEdition SP2日本語版インストール直後の状態である。
「誤検知」の可能性を防ぐ目的で、余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。この状態で「ウイルス、スパイウェア」が検出されるなどまず有りえない環境である。
WinAntivirus Pro 2007をインストールする
今回供試したインストーラーファイルは、以下のものである。
WinAntiVirusPro2007FreeInstall_jp.exe
size=92368byte
CRC16=D5F3
CRC32=35C4BE67
MD5=523ad13c04b60a8bd89a3477efb8ba31
またプロパティのバージョン情報より、ファイルバージョン:1.3.96.1、製品バージョン:5.0.322.0の記載を確認した。
インストール前に、パソコン固有の情報を抜き取られ外部に送信されている
インストーラーファイルをダブルクリックした直後に、このような表示が出る。
既にこの時点で、adfarm.mediaplex.comとulog.jp.winantivirus.comに接続し、不審なIDを送信している。
GET /ad/bk/7412-39614-2054-4?install=1&mpuid=37457196xx HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: adfarm.mediaplex.com
Cache-Control: no-cache
GET /?action=1&type=exe&pc_id=37457196xx&abbr=UWA7PS_0001_N96M0206&err=err0_line0_lerr0_num1_try1_prev0 HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: ulog.jp.winantivirus.com
Cache-Control: no-cache
id=37457196xx(後ろ2文字は伏字とした)は、VirtualPCの同一バーチャルマシンであれば、何度インストール操作を試みても同一となる。
思いつきでVirtualPCのゲストドライブにおけるアダプタアドレス(MACアドレス)を一文字だけ変更してみると、勝手に送信されるIDは「15530177xx」に変わった。
アダプタアドレスより(またはその他の情報を併用し)何らかの方法でIDを作成し、送信しているようだ。
(インストールが完了すると作成されるファイル、C:\Program Files\WinAntiVirus Pro 2007\sr.logファイル中には、以下のログが1行記載されており、インストーラーがアダプタアドレス(MACアドレス)より作成したIDが保存される。)
http://ulog.jp.winantivirus.com/?action=23&abbr=UWA7PS_0001_322.1&pc_id=15530177xx&aid=keyin&lid=keyin&affid=keyin&cnt=&lng=
MediaPlexのトラッキングクッキーが設置される
インストーラーファイルをダブルクリックした直後にadfarm.mediaplex.comにユニーク性が高いidを送信し、その結果としてトラッキングクッキーが作成される。
FileMonのログでは、トラッキングクッキーを作成するのはInternet Explorerではなく、WinAntiVirusProのインストーラーファイルである。
(FileMonのIncludeにて「CREATE」とただ登録して監視し発見した)
(*クリックで拡大)
SetされるCookieは「username@mediaplex.com/」だ、Domain属性はadfarm.mediaplex.comではない。
レジストリを漁る、インストーラー
インストール直前の段階で、RegMonのログを眺めて不思議な点に気付いたのだが。
WinAntiVirusProは言語の設定やIEやネットワークの設定程度ならばともかく、必要以上のレジストリを何故か漁っているような気がする。
一例として「HKCU\Software\Opera Software」、もちろんOperaは導入していないためNOT FOUNDとなるのだが、違和感を感じる。
続行をクリックし、インストール直後
インストール中に裏ではadfarm.mediaplex.com、ulog.jp.winantivirus.comとdownload.cdn.winsoftware.com、trial.updates.winsoftware.comへ通信している。
インストール直後に行われるスキャンにては、脅威名:Trojan.Win32.DelAll.q、脅威の種類:Trojanが検出される。
これはWindows OSに元々備わっているC:\WINDOWS\system32.deldrv.exeを検出したものだ、もちろんトロイの木馬などではない。
アップデート
この時点でのバージョン情報は、5.0.322.1である。
シグニチャファイルと推察されるC:\Program Files\WinAntiVirus Pro 2007\AWBase\database\enemies.datなるファイルは11.0 MB (11,559,869 バイト)だ。
アプリケーションアップデート、データベースアップデートを行いOSを再起動したが、プログラムのバージョンもenemies.datも変化が無かった。
WinAntiVirus Pro 2007のスパイウェア、ウイルス検出力
アドウェアを検出できるのか?
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)、Claria Corporation(旧称:Gator Corporation)のGain入りであるPrecision TimeのAd-Support無料版(http://www.precision-time.com/)を準備した。
4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
インストーラーファイルをスキャンさせたが何も検出されなかった。
Alexa Toolbar、HotBar、ClariaのGatorはインストール操作中にリアルタイムスキャンにより検出された。
3721の場合、1ファイルがインストール中に検出され、その後に「ウイルス警報 あなたのセキュリティが突破されました!」なんて物騒なダイアログが出る。
その後にクイックスキャンではなく通常スキャンを実行。
「警告!!16重大な感染検出!!」と表示される。
Gatorではファイルの名前のみで判断しているのではなかった
世間にはファイルの名称のみをチェックしているBogus wareも存在する。中身が空であってもスパイウェアとして検出するようなものだ。WinAntiVirus Pro 2007ではどうだろうか?
GatorのBIC_GatorPT.exe(以前Precision Timeをインストールした際に作成されたファイルを保存しておいたもの)をコピーしようとすると、リアルタイムスキャン?によりAdware.Gator.6200.A382として警告が出た。
BIC_GatorPT.exeをCドライブ直下にコピーして貼り付け。再起動直後のインスタントスキャンまたは通常スキャンにてAdware.Gator.6200.A382として検出された。
C:\Program Files\直下に新規作成したテキストファイルをBIC_GatorPT.exeの名称にリネームした空ファイルを作成し設置しておいたが通常スキャンでもダブルクリックしても検出されなかった。
更には、他のソフトウェアで実行形式ファイル単体で動作するものをBIC_GatorPT.exeにリネームしたが、検出対象とはならなかった。
ウイルスを検出できるのか?
Cドライブ直下に「virus」と名づけたフォルダを作成し、Happy99.exe、notepad.exe(QAZ)、whatever.exe(Aliz)、marburg.scr(marburg)の4ファイルを設置。
かなり古いウイルスを供したのは、主たる目的が「ウイルスの検出能力があるのか否か」を検証する目的であるからだ。
通常スキャンの結果、いずれのファイルもウイルスとして検出できた。
またフォルダごとコンテキストメニューにてスキャンしても、4つとも検出できた。
(*クリックで拡大)
Trojan.Win32.DelAll.qの誤検出の謎
余談となるが、DelAllとはかつてWhiterなどと呼ばれたカテゴリのマルウェアであり、WinMXなどのファイル交換サービスを利用しているユーザーをターゲットとして広まった、ハードディスク中のファイルを上書きして消して復旧不能とするマルウェアを指すと推察される。
元々Windowsに備わっているdeldrv.exeなるファイルを誤検出の対象とした理由は、マルウェアの名称のDel(削除)にかけたものなのだろう。
(表示サイズの都合で空白部を詰めて加工した)
VirtualPCのゲストOSをセーフモードで起動。
Trojan.Win32.DelAll.qとして検出されるC:\WINDOWS\system32\deldrv.exeを予め削除しておく。
ウイルスではないのに誤検出されるシステムファイルを、事前に消して挙動を観察するためだ。
ゲストOSを再起動、今度は通常起動とする。
この状態でWinAntiVirusPro2007FreeInstall_jp.exeをダブルクリックしてインストールし、クイックスキャンが始まった。
「ウイルスが見つかりませんでした!」との表示。少なくともファイルの有無は確認しているらしい。
不思議な事に、deldrv.exeをデスクトップにコピーしてコンテキストメニューより個別にスキャンしても検出されないのに、C:\WINDOWS\system32中のdeldrv.exeを同様にスキャンするとTrojan.Win32.DelAll.qとして検出されるのだ。
(ちなみにいずれの場所であってもダブルクリック時には検出されない)
この結果には多少困惑した。Gatorは場所を問わず検出されたのにと。
Discussion - WinAntiVirus Pro 2007の不審さ
WinAntivirus Pro 2007の配布サイト、winantivirus.comのおかしさ
2007年6月セキュリティホール memoにて掲載されていたURI、http://jp.winantivirus.com/download/2007/よりダウンロードを試みた。
2007年9月7日にダウンロードしたインストーラーファイルも同一であった。
「WinAntiVirusはウィルスの検索ために全体スキャンをおこなっています。」なのだそうだ。
実際にオンラインスキャンをしているように装うこの表示は呆れる。リロードする度に「検出された脅威」が毎回異なる数字になるのは手抜きだ。
(*クリックで拡大)
インストール後のマルウェア検出力と、虚偽のレポート
アドウェア類をテストした結果、元々WindowsOSに備わっているファイルを誤検出したTrojan.Win32.DelAll.qを除く15例に限定すれば、一応はアドウェア類をスキャンし検出できた。
またGatorによるテストの結果、名称のみで判断しているのではなく、またファイルの場所はどこでも関係無いらしい。
既存の偽ソフトウェア類の幾つかはファイルの名称のみで検出し、テキストファイルをリネームしただけの空ファイルであっても検出する事例があるのに比較すれば、まだ良心的だ。
対照的に、Windows OSに備わっているシステムファイルC:\WINDOWS\system32\deldrv.exeに対しては、全く異なる挙動を示す。
「Trojan.Win32.DelAll.q」と虚偽のレポートが表示される点のみが不審なのではない。
Gatorやウイルス類は場所を問わずどのディレクトリ中であっても検出される。これに対してdeldrv.exeはデスクトップや他の場所では何も検出されず、system32フォルダ中でなければ虚偽の検出レポートが表示されないのだ。
ハードウェアの情報を元に作成したIDの無断送信
WinAntiVirusPro 2007はインストール時に、インストーラーがmediaplex.comにidを送信しcookieを作成する。
idは桁数が少ないものの機種固有の値が設定されたユニークなものであると推察され、接続元IPアドレスと共に記録すれば消費者を監視するには十分なものであり、mediaplexのトラッキングクッキーと組み合わせればより悪質なトラッキング行為やユーザーの監視が可能であろう。
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係(LucaBlog)
Cookieそのものはスパイウェアではない、だがハードウェアの情報より取得した値を無断で送信する際に同時にSetするCookieは、スパイウェアとしての活動と判断されてもさほど乖離は無いのでは。
大体、ハードウェアより取得したハッシュ値なんて外部に送信しなければならない理由が存在するのかと
送信されるIDとアダプタアドレスは桁数は異なり、16進法表記ではない。
だがアダプタアドレスは(普通は)同一のマシンは存在しないし。
一部を取り出して加工しユーザー識別の用途に供したとしても、コリジョンの可能性が極めて低いIDであるならば、接続元のIPアドレスまたはアドレスブロックの情報を併用すれば、十分にユーザー及びマシンの識別は容易なのではと。
WinAntiVirusProのインストーラーが表示した「続行」を押さずライセンス契約も承諾していないにも関わらず、勝手にユニーク性が高いIDを外部に真っ先に送信するのは、あまりにも不審である。
注視すべきは、Cookieの送信先であるMediaPlexは、WinFixer系のbogus wareと不思議と密接な関わりがある企業である。WinAntiVirusProシリーズもWinFixer系アプリケーションである。
一例としてMcAfee SiteAdvisor の Web 安全性評価では、ErrorSafeFreeInstall2_de.exe がhttp://img-cdn.mediaplex.com/(以下略)にて配布されていると報告されている。
MediaPlexは一応は、大手の広告代理店ではあるものの、裏の顔があるのだろうか。
ライセンス契約の不思議 - 信頼済みサイト登録はやり過ぎで、異常
EULA(使用許諾説明書)は http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007 より閲覧可能。
WinAntiVirus Pro 2007により、WinSoftware Inc.のサイトがインターネットエクスプローラーの信頼済みサイトとして追加されます。
「WinAntiVirus Pro 2007 - license.html(http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007)」
自分はこれまで幾つかのいかがわしいソフトウェアを踏んできたが、Internet Explorerの信頼済みサイトゾーンに登録するようなソフトウェアは、マルウェアやJWordを除けば、あまり例を知らない。
(ネット上にはJWordが「サイトを閲覧しただけで再感染した!」との事例が多々報告されているが、信頼済みサイトゾーンに登録されたのが理由と推察される)
WinSoftware Inc.がWindowsの脆弱性を利用するような悪質な罠ページを設置していたらば、Internet Exploreは信頼済みサイトゾーンたる基準が甘い部類にて判断するために、多くの危険なスクリプトが実行されてしまう可能性がある。
今回のテストにては、信頼済みサイトゾーンへの無断登録は確認できなかった。
検索エンジンにて「\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\winantivirus.com」を検索すると、幾つかの質問掲示板などに報告事例があるのだが、どうも他のマルウェアによる可能性が排除できないし、呼び水となるダウンローダー系マルウェアを発見できなかった。
そのためこれ以上の言及を避ける。
(信頼済みサイトゾーンへの登録については、IE-SPYADと制限付きサイト(Semplice, 2005年10月03日)と、JWordが勝手に・無断でインストールされる理由と経路の謎(Semplice, 2006年8月29日)参照のこと)
Conclusion
- WinAntiVirus Pro 2007のインストーラーファイルは実行直後に、許諾も得ずに不審な活動を行う
- 大手広告代理店MediaPlex社にハードウェアより取得したハッシュを送信し、Cookieをセットする。
- インストール直前の時点で、必要以上のレジストリエントリへアクセスする(例としてOpera)。
- 大手広告代理店MediaPlex社にハードウェアより取得したハッシュを送信し、Cookieをセットする。
- WinAntiVirus Pro 2007のマルウェア検出力は、変
- シグニチャファイルが大きすぎる - 何処の情報を元にして作成したのか?
- アドウェア、ウイルスなどを検出可能で、最低レベルの市販製品とある意味で遜色は無い。
- 検出対象ファイルはリネームし場所を変更しても検出される、つまり「ファイルの名称のみをチェックするのではなく、中身をチェックしている」。
- Trojan.Win32.DelAll.qとして誤検出されるWindowsのシステムファイルであるdeldrv.exeは、\system32フォルダ以外の場所に移動しスキャンすると検出されない。
- シグニチャファイルが大きすぎる - 何処の情報を元にして作成したのか?
- EULA(使用許諾説明書)には信頼済みサイトゾーンへの登録を明記しているが、今回は確認できなかった。
- 海外の質問掲示板にては、winantivirus.comが登録されてしまっている事例が多く存在するが、他のマルウェアとの複合感染に起因する可能性を否定しきれない。
- 海外の質問掲示板にては、winantivirus.comが登録されてしまっている事例が多く存在するが、他のマルウェアとの複合感染に起因する可能性を否定しきれない。
関連記事
偽セキュリティソフトによる、動作しているふり、とは?(Lucablog, 2007年10月21日)
スパイウェアとみなす基準と、固有ID送信(LucaBlog, 2007年9月22日)
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係 (LucaBlog, 2007年9月15日)
彼らは1年ほどで1億5000万ドル以上も稼いだ - 詐欺ソフトウェアの販売(Semplice, 2007年3月11日)
偽ソフトウェアを機能面でなく、社会学的理由で注意喚起を促しても良いのでは(Semplice, 2007年1月16日)
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法(Semplice, 2006年4月15日)
WinFixer 2005による脅迫は自作自演(Semplice, 2006年1月21日)
Bogus wareとRogue ware、インチキソフト(Semplice, 2005年10月18日)
Posted by Luca at 11:25
│
Comments(4)
│
TrackBack(0)
2007年10月20日 - パスワード付きzip書庫形式圧縮ファイル中のマルウェア
マルウェア含むパスワード付きZip圧縮ファイルをメールに添付する手口は、検出回避としては現在ポピュラーな手口の一つである。
パスワードが無ければ開けないzipファイルならば、アンチウイルスソフトウェアではzipファイルの中身をスキャンできないだろうと期待するのだろう。
具体例としてパスワードを記載したgif画像ファイルと、パスワード付きのzipファイルを送りつける例がある。
ウイルス対策ソフトウェアでは検出できない?実際にはそうでもないようだ。
もちろん、場合によりけりなのだろう。
2007年10月19日、簡単なテストを行った。
eicar.comとHappy99.exeを準備し、それぞれをフォルダに格納。
圧縮解凍ソフトウェアとして著名なLhaplusにより書庫形式のzipファイルを作成した。圧縮率の設定は標準である。
zipファイルはそれぞれ、パスワードが必要なものと、パスワード不用のものを作成。
VirusTotalに放り込んで、結果を観察。
*1:error - password-protexted file
*2:Password-protexted-EXE
理解に苦しむのだが、パスワードを知らなければ開けないzip圧縮ファイル中のマルウェアであっても、一部の製品は検出できた。
だがPassword付きzipファイルでeicar.comを検出できたのはAuthentium・F-Prot・Normanの3つであったものの、Happy99.exeを検出できたのはNormanだけであった(W32/Ska.a@m)。
Norman Virus Controlをインストールし、最新の状態にアップデートした。
19日にVirusTotalにて供試したファイルを、コンテキストメニューよりスキャン。
手動スキャンの結果、4ファイルとも検知できた。
圧縮ファイルのスキャンができない製品もあり、また圧縮の回数(同じファイルを幾度も圧縮した場合)によっては正常に解凍できずにスキャンをスキップする製品もあるだろう。
更にはVirusTotalの結果は実際にウイルス対策ソフトを導入したスキャンの結果をどこまで正しく反映しているのかとの点には、疑問はありますが。
本題ではないのでこの場では議論の対象としては扱わない。
パスワード付き圧縮ファイル中のマルウェアは検出できないと誤解していたのだが、一部のソフトウェアはeicar.com及びskaを検出できた。
だが、どのような仕組みにより検出されるのだろうか?不思議。
今回気にかかった点として、パスワード付きzipファイルのスキャン結果として、VirusTotalにて「何も検出されなかった」ように表示された点だ。
全ての製品を実際にインストールして試したのではないが、「パスワードで保護されたファイルなのでスキャンできなかった」と知らせるのがよりユーザーにとって役立ち親切な仕様なのではなかろうか。
コメントにて指摘がありNorman Virus Controlを再度試したところ、パスワードにより結果が異なった。
Happy99.exe入りフォルダ「Happy99」を、それぞれ1-4の名称のフォルダ中にコピー。格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出。
その他zipファイルはThe archive is encrypted and can not be handledとなった。
パスワードが1桁の数字であれば、Norman Virus Controlはパスワード付きzipファイルの中身を精査できるようだ。
パスワードが無ければ開けないzipファイルならば、アンチウイルスソフトウェアではzipファイルの中身をスキャンできないだろうと期待するのだろう。
具体例としてパスワードを記載したgif画像ファイルと、パスワード付きのzipファイルを送りつける例がある。
ウイルス対策ソフトウェアでは検出できない?実際にはそうでもないようだ。
もちろん、場合によりけりなのだろう。
2007年10月19日、簡単なテストを行った。
eicar.comとHappy99.exeを準備し、それぞれをフォルダに格納。
圧縮解凍ソフトウェアとして著名なLhaplusにより書庫形式のzipファイルを作成した。圧縮率の設定は標準である。
zipファイルはそれぞれ、パスワードが必要なものと、パスワード不用のものを作成。
VirusTotalに放り込んで、結果を観察。
*1:error - password-protexted file
*2:Password-protexted-EXE
理解に苦しむのだが、パスワードを知らなければ開けないzip圧縮ファイル中のマルウェアであっても、一部の製品は検出できた。
だがPassword付きzipファイルでeicar.comを検出できたのはAuthentium・F-Prot・Normanの3つであったものの、Happy99.exeを検出できたのはNormanだけであった(W32/Ska.a@m)。
Norman Virus Controlを導入しテスト
Norman Virus Controlをインストールし、最新の状態にアップデートした。
19日にVirusTotalにて供試したファイルを、コンテキストメニューよりスキャン。
手動スキャンの結果、4ファイルとも検知できた。
Discussion
圧縮ファイルのスキャンができない製品もあり、また圧縮の回数(同じファイルを幾度も圧縮した場合)によっては正常に解凍できずにスキャンをスキップする製品もあるだろう。
更にはVirusTotalの結果は実際にウイルス対策ソフトを導入したスキャンの結果をどこまで正しく反映しているのかとの点には、疑問はありますが。
本題ではないのでこの場では議論の対象としては扱わない。
パスワード付き圧縮ファイル中のマルウェアは検出できないと誤解していたのだが、一部のソフトウェアはeicar.com及びskaを検出できた。
だが、どのような仕組みにより検出されるのだろうか?不思議。
今回気にかかった点として、パスワード付きzipファイルのスキャン結果として、VirusTotalにて「何も検出されなかった」ように表示された点だ。
全ての製品を実際にインストールして試したのではないが、「パスワードで保護されたファイルなのでスキャンできなかった」と知らせるのがよりユーザーにとって役立ち親切な仕様なのではなかろうか。
2007年11月10日追記事項
コメントにて指摘がありNorman Virus Controlを再度試したところ、パスワードにより結果が異なった。
Happy99.exe入りフォルダ「Happy99」を、それぞれ1-4の名称のフォルダ中にコピー。格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出。
その他zipファイルはThe archive is encrypted and can not be handledとなった。
パスワードが1桁の数字であれば、Norman Virus Controlはパスワード付きzipファイルの中身を精査できるようだ。
Posted by Luca at 20:15
│
Comments(7)
│
TrackBack(0)
2007年10月09日 - 中学生彼氏募集 - Googleのアドワーズ広告って誰がどう審査している?
livedoorニュースにて「たばこダッシュ」、中学生3人逮捕=コンビニから万引き−警視庁なる記事を開いたらば、凄い広告が表示された。
Googleのアドワーズ広告は以前ろくにチェックもされておらず、悪質な詐欺ソフト業者の宣伝に力を貸していた問題について以前言及した(Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日))。
今回は詐欺業者ではありませんが、Googleはここまで来たのかと。
リンク先は出会い系サイトを紹介する内容で、大体は18歳未満はお断りと表記しているサービスではありましたが。
「中学生彼氏募集の情報をLife123.jpで検索!」、、、、あまりにも倫理的な問題を多く孕み、放置しがたいものではなかろうか?
次いで、Googleにて「中学生彼氏募集」を検索してみた。
これまた堂々と、スポンサーリンクとしてLife123.jpなるサイトの出会い系などを紹介するサービスへリンクが。
中学生に中学生の彼氏を得させるのをサポートする目的なんだろうか。
もしくは「大人が、中学生の彼氏を得るのを促す目的」なんだろうか、児童淫行とか。
自分にはわからないし、知るつもりも無いし、むしろどうでもいい。
少なくともGoogleは広告主をマトモに審査していないとの現況を示した、重要な事例の一つとして自分は捉えている。
AmazonによるGoogleアドワーズ広告は無節操(Semplice, 2006年3月11日)
SpyBotとSpyHunter、Googleのアドワーズ広告の悪用(Semplice, 2005年1月27日)
TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎(Semplice, 2005年12月25日)
Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日)
Googleのアドワーズ広告は以前ろくにチェックもされておらず、悪質な詐欺ソフト業者の宣伝に力を貸していた問題について以前言及した(Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日))。
今回は詐欺業者ではありませんが、Googleはここまで来たのかと。
リンク先は出会い系サイトを紹介する内容で、大体は18歳未満はお断りと表記しているサービスではありましたが。
「中学生彼氏募集の情報をLife123.jpで検索!」、、、、あまりにも倫理的な問題を多く孕み、放置しがたいものではなかろうか?
次いで、Googleにて「中学生彼氏募集」を検索してみた。
これまた堂々と、スポンサーリンクとしてLife123.jpなるサイトの出会い系などを紹介するサービスへリンクが。
中学生に中学生の彼氏を得させるのをサポートする目的なんだろうか。
もしくは「大人が、中学生の彼氏を得るのを促す目的」なんだろうか、児童淫行とか。
自分にはわからないし、知るつもりも無いし、むしろどうでもいい。
少なくともGoogleは広告主をマトモに審査していないとの現況を示した、重要な事例の一つとして自分は捉えている。
関連項目
AmazonによるGoogleアドワーズ広告は無節操(Semplice, 2006年3月11日)
SpyBotとSpyHunter、Googleのアドワーズ広告の悪用(Semplice, 2005年1月27日)
TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎(Semplice, 2005年12月25日)
Googleの広告に潜む、マルウェア配布者による広告(Semplice, 2006年3月22日)
Posted by Luca at 19:45
│
Comments(10)
│
TrackBack(0)
2007年10月04日 - 偽ソフトウェアによるクローン製品(Clone app.)生成
限りなく同一のインチキソフトウェアが、全く別の名称で配布されているケースが世の中には多々見受けられる。
ある場合には、以前のバージョンより名称やインターフェイスを変更し。
ある場合には、ほぼ同一の見た目・ファイル構成のソフトウェアを同時期にリリースする。
Symantecが9月に発表したAttack of the clones?の和訳記事が紹介されている。
クローンの攻撃(ITPro)はかなり面白く、所謂インチキソフトとかBogus wareやRogue ware好きならば要チェックだ。
AVSystemCareとGoldenAntiSpyなるクローン製品をどうやって生成するのか、興味深い解説が述べられている。
要約してしまうと、
1)詐欺的ソフトウェアを配布するサイトへ誘導(配布サイトは複数のドメインで運営される)
2)CookieをSetさせる
3)インストーラーファイルは、Cookieよりどの導入元サイトよりなのかを判別し、ドメイン名を元にソフトウェアの名称を随時変更する
エレガントな手口ですね、驚きました。
これであれば、同一のインストーラーファイルとアプリケーションを構成する同一のファイルにて、多くの名称のアプリケーションをリリースして対策を難しくする。
名称が違うと被害者は情報収集も困難になるものだ。
(もちろん、「ファイルの中身」までをチェックするような対策側製品であれば、名称が異なったとしても容易に検出できそうではありますが)
記事中にては、クッキーを任意のものに編集して、その後導入されるソフトウェアの名称を変更する方法が紹介されている - HelloWorld!ですよ、あまりにも微笑ましい。
ある場合には、以前のバージョンより名称やインターフェイスを変更し。
ある場合には、ほぼ同一の見た目・ファイル構成のソフトウェアを同時期にリリースする。
Symantecが9月に発表したAttack of the clones?の和訳記事が紹介されている。
クローンの攻撃(ITPro)はかなり面白く、所謂インチキソフトとかBogus wareやRogue ware好きならば要チェックだ。
AVSystemCareとGoldenAntiSpyなるクローン製品をどうやって生成するのか、興味深い解説が述べられている。
要約してしまうと、
1)詐欺的ソフトウェアを配布するサイトへ誘導(配布サイトは複数のドメインで運営される)
2)CookieをSetさせる
3)インストーラーファイルは、Cookieよりどの導入元サイトよりなのかを判別し、ドメイン名を元にソフトウェアの名称を随時変更する
エレガントな手口ですね、驚きました。
これであれば、同一のインストーラーファイルとアプリケーションを構成する同一のファイルにて、多くの名称のアプリケーションをリリースして対策を難しくする。
名称が違うと被害者は情報収集も困難になるものだ。
(もちろん、「ファイルの中身」までをチェックするような対策側製品であれば、名称が異なったとしても容易に検出できそうではありますが)
記事中にては、クッキーを任意のものに編集して、その後導入されるソフトウェアの名称を変更する方法が紹介されている - HelloWorld!ですよ、あまりにも微笑ましい。
Posted by Luca at 19:47
│
Comments(13)
│
TrackBack(0)
