Semplice - Spyware Stormerは存在しない脅威で脅迫する

　海外のサイトを見ていると、このSpywareStomerのタイトルが「Warning - Spyware Notice」そして「If your computer has been running slower than usual, it may be infected with Adware or Spyware. To scan your computer, click yes below.」と言うなかなか扇情的なバナー広告を見る事もあろう。
　（YesとNoいずれを押してもhttp://www.spywarestormer.com/に転送される）

　転送先のhttp://www.spywarestormer.com/にて表示される「spyware infections found: 46」は単なるデフォルトで表示される画像なのだが、数人に一人は自分が感染中なのかと勘違いするやもしれない。

　先に結論を書いてしまうが。
　OSインストール直後なのにこのソフトにより検出される、Lop.comが何を指すのかは不明。
　またMartifinder - Extreme Riskとは何だ？大体、該当するキーや文字列やDWORD値は存在しない。誤記かと考え、推定されるもの（IEのホーム）をMSのURLから「http://www.google.co.jp/」へ変更しても、同じものが検出される。
　やっぱりインチキソフトか？

　折角なのでテストしてみることにしたのだ。
　テスト目的でWindows XPをセットアップし、SP1を適用した。
　Internet Explorerの設定はデフォルトだが、Cookieは無効にした。
　念のため、IEのキャッシュとクッキーは全て削除し、トップページはGoogleに変更してある。

　Spyware Stormerの配布元である「http://spywarestormer.com/」へIEで接続し、とりあえず「Scan your PC now - free!」を押す。
　セキュリティ警告のダイアログが出た。Active X コントロールをダウンロードしてオンラインスキャンさせるつもりのようだ。「はい」を押す。
　デスクトップ上にSpyware Stomerという黒地に黄色い雷のアイコンができた。

　スキャン終了後、「WARNING! 2 Infections Detected! To remove these infections, you must register Spyware Stomer. Click YES or register now!」ってダイアログが出た。
　2つ検出されたが、当然「いいえ」を押す。


　えーっと。どこの何の話なんでしょうか。

　大体、こんな名称のキーや文字列やDWORD値は存在しない。

　もしかして、Main\Start Page以下の「http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home」ですか？これがどのような問題があるんでしょうか。
　（スキャン後の画面で確認したら、Signature Fire Vertion: Version 6.3 05.10.2004 22:40、Application Version: 1.4.7であった）

　もう一度やってみたところ、「Windows システムファイル保護」とかの警告が出て、「システムファイルが書き換えられたんだけど・・・・・」みたいな説明が出た。
　薄気味悪いなぁ、何ですかこりゃ。電源落として、またやりなおす。
　それからまたクリーンな環境を作って試したが、このような警告が出たのはこれっきりだった（謎
　後から考えると、このような貴重な「チャンス」をろくにメモもせずに見過ごしたのは失敗であった。心の底から反省し次回の参考にするつもりだ。

　また最初からやりなおすことにした（面倒なんですが、OS再インストールって
　Main\Start Page以下を「http://www.google.co.jp/」に書き換えてから再度スキャンしたが、それでもやっぱり同じもの2つが検出された。
　どうも「（別に悪いものが無かったとしても）何かをでっち上げて、利用者の不安を煽り立てて購入を強要する」つもりらしい。
　「解決したいなら、レジスト（購入）しろ！」ってダイアログが気分悪い。

　この手の善意のセキュリティ対策ソフトを騙る悪質なものが増加している。
　具体的な手口としては、自分でポップアップ広告を表示しておきながら「ポップアップを停止する対策ソフト買いませんか！」とか。
　またアダルトサイトからリダイレクトさせ、「お前のパソコンは感染中だ！対策ソフトの何々を買え！」と嘘の警告を含むコンテンツに転送させる。
　最も悪質なものとしては、ブラウザハイジャッカー系のマルウェアに感染させたユーザーに、「助かりたいならこれを買え！」などと怪しいソフトの購入を強要させるダイアログを表示させる例だ。

　Spyware Removerは、Lavasoft（スパイウェア対策ソフトのAd-awareの配布元）のフォーラムでインチキソフト（Bogus Spyware Removal Tools）として紹介されている。
　Spyware Removel, Bogus Spyware Removel Tools(Lavasoft)

　またspywarewarrior.com（それ系の情報がよく集まってる有名な所）にてもRogue/Suspect Anti-Spyware Products（悪党/容疑者 アンチスパイウェア製品）として紹介されている。
　Spyware Warrior Rogue-Suspect Anti-Spyware Products & Web Sites（spywarewarrior）

　やっぱりバチもんか？

　今回の件とは直接の関わりが無く、一部伝聞を含む話だが。
　じっくりと数えたのではないが、この手の悪質ソフトはチャイルドポルノ関連のサイト絡みでよく悪意を持って（自分が何かに感染していると誤解させるような形で）広告されるとのこと。これは海外ではそのような画像を所持しているだけで禁固刑になるような背景を悪用し、悪質ソフトを購入したユーザーが司法や関係機関に訴えられないような状況を作り出してやっているとしか考えられない。
　つまり、（パソコンの利用者が閲覧し感染したサイトがアダルトコンテンツを含まないものであったとしても！）チャイルドポルノを含むサイトを強制表示させる例が多い。

　そのため感染したユーザーは、パソコンの購入元や修理サービスのサポートを事実上受けられなくなる（修理担当者により誤解され警察に通報された場合、そのような性癖が無かったとしても、法律により禁固刑を受ける可能性に怯えなければならなくなるそうだ）。

SpywareStomerの悪質な広告

　こんなサイトがあるんですが。Planet Vidsなるサイトです。
　ttp://www.planetvids.com/html/　　（一応、h抜きで）
　Javaスクリプトとクッキーが有効で、後はIE6の高設定で閲覧したんですが。
　リロードすると出てこなくなるんだけど、クッキーを削除してからリロードしたらば出る、この嫌ーなダイアログ。

　「Message Alert You have 3 messages waiting for you」
　えーっと。初見なのに、なんでこの「あなたへの3件のメッセージがあります」なんて表示が出るんだろうか。

　そしてどこか適当な場所を押したらば、こんな変なダイアログが。

　「ttp://isg04.casalemedia.com - Warning - Microsoft Internet Explorer
　Warning - if your computer has been running slower than usual, it may be infected with Adware or Spyware! to Scan your computer for such infections, click yes below.」

　Yesを押すとですね。
　おなじみのインチキ企業、ttp://www.spywarestormer.com/のSpywareStomerのスキャンページへリダイレクトされました。
　スキャン前にこのような表示をちらつかせれば、100人に1人かそれ以上は、自分が何かに感染していると勘違いしそうな予感がする。


　このSpywareStomerは、以前も紹介したんだけど。存在しないマルウェア（アドウェアなりスパイウェア）を検出したように騙して、ユーザーに金を払わせて製品版なるものを購入させようとする、悪質業者なのだよ。
　このような悪質業者の広告が含まれてたりするのは嫌なものなんだけど。
　サイトのトップページの（広告が無い）また別な場所を押したらば、こんなのが出た。

　http://isg06.casalemedia.com - Warning -Microsoft Internet Explorer

　Help and Support Center Critical Error Detection Wizard

　You may have critical errors on your PC.
　Use this wizard to help inprove the performance of your PC by removing critical system error...........

　この表示が出た理由が理解できず、しばらく考えたんですが。

　どうやらこのサイトは、広告を表示するにあたって契約を結んだ先が悪質な業者だったとは考えづらく。
　単純に、悪質業者が騙しのターゲットを集めるためにこのようなサイトを作って、そこに様々な騙しリンクなり広告を設置してると考えるのが最も釈然とする解釈だ。
　一見すればまともそうな印象に見えるサイトであっても、このようなトラップが含まれるのは、大変驚きである。

　以前はアダルトサイトを閲覧した罰のように言われていた、ブラウザ経由でのマルウェアの感染なんですが。
　このようなものであれば、アダルトサイトや反社会的内容を含むサイトとは無縁なユーザー層であっても、詐欺の被害に遭遇しそうですね。

コメントスパムとSpywareStomere

　何となく気になり、このSpywareStomereをGoogle検索したらばですね。

　とあるブログへの2005年06月04日 14:05のコメントスパムに、長々といかがわしい単語と30のリンクが羅列されてました。一部を抜粋。

download free spyware removal
spyware stormer

　本当に悪質だな、この業者。

　強烈なのは、とあるブログに書き込まれてた何十件ものコメントスパム。ある一件のコメントスパムを、URI付きで編集し抜粋する。

Spyware Eliminator
Free Spyware Remover
http://free-spyware-remover.spyware-spyware.net/Free-Spyware-Remover.html
Free Spyware Removal
http://free-spyware-removal.spyware-spyware.net/Free-Spyware-Removal.html
Spyware Removal
http://spyware-removal.spyware-spyware.net/Spyware-Removal.html
Free Spyware
http://free-spyware.spyware-spyware.net/Free-Spyware.html
Spyware Blaster
http://spyware-blaster.spyware-spyware.net/Spyware-Blaster.html
Spyware Remover
http://spyware-remover.spyware-spyware.net/Spyware-Remover.html
Spyware Doctor
http://spyware-doctor.spyware-spyware.net/Spyware-Doctor.html
Spyware Stomer
http://spyware-stormer.spyware-spyware.net/Spyware-Stormer.html
Anti Spyware
http://anti-spyware.spyware-spyware.net/Anti-Spyware.html
Spyware Software
http://spyware-software.spyware-spyware.net/Spyware-Software.html
Remove Spyware Free
http://remove-spyware-free.spyware-spyware.net/Remove-Spyware-Free.html
Free Removal Of Spyware
http://free-removal-of-spyware.spyware-spyware.net/Free-Removal-Of-Spyware.html
Spyware Eliminator
http://spyware-eliminator.spyware-spyware.net/Spyware-Eliminator.html

　これらのうち幾つかは、インチキソフトのテストでインストールした経験がある。
　一つのコメントスパムに同じドメイン（spyware-spyware.net）の宣伝としてこれらがまとめて掲載されてるってのは、同系列・もしくは何らかの繋がりがあると推察しても考えすぎではないのだろう。

関連記事

　Bogus wareとRogue ware、インチキソフト

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

　このブログは、Lucablog 2004-10-16 spyware stormerはインチキか？（http://d.hatena.ne.jp/LucaLuca/20041016）、Lucablog 2005-06-20 存在しない脅威で脅迫する広告とSpywareStomer（http://d.hatena.ne.jp/LucaLuca/20050620）、を修正・加筆し移転したものです。

コメントスパム対策のため、このブログエントリへのコメントは禁止しております。