2005年07月03日 - Vocal Cancelとロジックボム
Vocal Cancelなるソフトの話題が最近盛り上がっているらしい。
スラッシュドット ジャパン トロイの木馬入りのシェアウェアVocal Cancelに注意
この問題をまとめたサイトを発見したので、紹介する。
Vocal Cancelがウイルスな件について。
要するに、不正なシリアルとパスワードを使い登録した場合、トロイを導入させ警告を促すらしい。
TROJ_HIROFU.Aによれば、2005年2月には感染者が発生していたようだ。
古田泰大氏はSoftEtherの開発に関わっており、この件についてのアナウンスがあった。
「SoftEther VPN 2.0 ベータ版プログラムの安全性について(速報)(http://www.softether.com/jp/vpn2/report1.aspx)」
こちらはこの問題について、大変よく流れがわかる内容となっている。
このサイト中にて、古田泰大氏よりlazy_dog氏宛ての連絡が公開されていたので、転載させていただく。
スラドで試した方に従い、http://hp.vector.co.jp/authors/VA013315/SOFTWARE.HTMよりダウンロードする(このページは、Modified: Friday, November 29, 2002だった)。
ダウンロードしてきたVC_505E.ZIPを解凍したものは、こんな感じ。
一応オンラインスキャンにて、VC_505E.ZIP、VC_506E.zipおよびそれぞれを解凍したものをテストしましたが。何も検出されませんでした。
ウイルスバスターオンラインスキャン
シマンテック・セキュリティチェック
実行ファイルをダブルクリックしたらば、とりあえずインストールせずにCDの再生はできた。だがボーカルの音声は残ったままであった。
ボーカルキャンセル機能なるものは、動作していないらしい。登録しなければ動作しないんだろうか。
その後に「設定」を開き、インストール。インストール時に、変な警告が出たのだが。
意味不明。
解凍時に作製されたVC_506E.INFをコピーして貼り付け、これをVC_505E.INFにリネームしたらば、とりあえずインストールは成功した。
(不良品ですか、このソフトって)
この時点で、不審なレジストリのキーや、スパイウェアと思われるファイルは見つからなかった。
また「設定」を開き、登録を試みる。
「作者から直接送信されたパスワード以外入力しないでください。
入力できるパスワードがない場合はキャンセルボタンを押してください。
パスワードについては、マニュアル及びREADME.TXTをお読みください。
ふーん、まぁいいや。シリアルに01234567、パスワードに01234567。
当然レジスト失敗。
この時点でも、レジストリに不審なサブキーは無い。
とりあえず、デタラメなシリアルとパスワードでは今回問題となっているトロイ・スパイウェアは導入されないようだ。
テストしたいものの、ロジックボムが発動する不正シリアル・不正パスワードがわからないので、ここまでとする。
何だかどうも、納得がいかない部分があるのだが。
今回のロジックボムが発動し、マルウェアがインストールされるためには、ネット上で流通している不正なシリアル及びパスワードが必要らしい。
そしてそれらの不正シリアル等の存在を古田泰大氏が知り、これらを使って登録された場合に、警告を出す目的だったようだ。
つまり「明らかに不法な行為をしているユーザー」しか、影響は受けないようだ。
その点で、このスラド中のコメントなどはどうも釈然としないものがあるのです。「信頼を裏切った」のは、不正な利用者の方なのではと。
また、これもどうもヘン。
このような単なる推察の積み重ねとか、想像の産物としか評価しづらいようなコメントがスラドでは「すばらしい洞察」らしい。「5%の確立で混入」?何を言いたいんだろうか。
マイクロソフトも不正コピー利用者に対しては、Windows Update経由での更新を抑制してるご時世。ソフト開発者の権利はどこかで守る必要があるのは事実だし。
このケースでは、不正なシリアルであればVocal Cancelの機能を停止する程度であったならば、ここまで問題扱いされなかったのではなかろうか。
古田泰大氏はlazy_dog氏に、これはトロイ・スパイウェアであると連絡したようだが。
特に悪辣な挙動をするようではないので、どうもマルウェアの範疇には含みづらいような気がする。
連絡先を得る目的でのメーラーに登録されているアカウント取得のみではなく、アドレス帳の取得はやりすぎな感が。
(詳しい情報をお持ちの方がいたらば、知りたいので連絡していただきたい)
一応この場で断っておくが。不正なユーザーならどうなっても良かろうなどとは、Lucaさんは考えてはいない。そしてまた、ネット上でやりとりされるシリアル集などの利用者に対してポジティブな考えは持っていない。
ただ、ですね。
議論の流れがどうもおかしいような、違和感を感じるんですよ。
これがトロイの木馬なりスパイウェアなりのセンセーショナルな用語なのでこのように盛り上がるのであって。
これが「不正登録ユーザー警告機能」とかの名称であったならば、読み手の印象はかなり変わったような気がしました。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-07-03 Vocal Cancel問題とロジックボム(http://d.hatena.ne.jp/LucaLuca/20050703)を修正・加筆し移転したものです。
スラッシュドット ジャパン トロイの木馬入りのシェアウェアVocal Cancelに注意
この問題をまとめたサイトを発見したので、紹介する。
Vocal Cancelがウイルスな件について。
要するに、不正なシリアルとパスワードを使い登録した場合、トロイを導入させ警告を促すらしい。
TROJ_HIROFU.Aによれば、2005年2月には感染者が発生していたようだ。
古田泰大氏はSoftEtherの開発に関わっており、この件についてのアナウンスがあった。
「SoftEther VPN 2.0 ベータ版プログラムの安全性について(速報)
こちらはこの問題について、大変よく流れがわかる内容となっている。
ウイルスの挙動について
登録が完了するまではスパイウエアは発生しない。
有効な登録がなされた後はじめてスパイウエアが発生する。
Vocal Cancelがウイルスな件について。
このサイト中にて、古田泰大氏よりlazy_dog氏宛ての連絡が公開されていたので、転載させていただく。
スパイウェアは正式なシリアルナンバー・パスワードでは展開・実行されません。Vocal Cancelがウイルスな件について。
Vocal Cancelを試してみる
スラドで試した方に従い、http://hp.vector.co.jp/authors/VA013315/SOFTWARE.HTMよりダウンロードする(このページは、Modified: Friday, November 29, 2002だった)。
ダウンロードしてきたVC_505E.ZIPを解凍したものは、こんな感じ。
一応オンラインスキャンにて、VC_505E.ZIP、VC_506E.zipおよびそれぞれを解凍したものをテストしましたが。何も検出されませんでした。
ウイルスバスターオンラインスキャン
シマンテック・セキュリティチェック
実行ファイルをダブルクリックしたらば、とりあえずインストールせずにCDの再生はできた。だがボーカルの音声は残ったままであった。
ボーカルキャンセル機能なるものは、動作していないらしい。登録しなければ動作しないんだろうか。
その後に「設定」を開き、インストール。インストール時に、変な警告が出たのだが。
意味不明。
解凍時に作製されたVC_506E.INFをコピーして貼り付け、これをVC_505E.INFにリネームしたらば、とりあえずインストールは成功した。
(不良品ですか、このソフトって)
この時点で、不審なレジストリのキーや、スパイウェアと思われるファイルは見つからなかった。
また「設定」を開き、登録を試みる。
「作者から直接送信されたパスワード以外入力しないでください。
入力できるパスワードがない場合はキャンセルボタンを押してください。
パスワードについては、マニュアル及びREADME.TXTをお読みください。
ふーん、まぁいいや。シリアルに01234567、パスワードに01234567。
当然レジスト失敗。
この時点でも、レジストリに不審なサブキーは無い。
何だか消化不良気味なVocal Cancelのテスト
とりあえず、デタラメなシリアルとパスワードでは今回問題となっているトロイ・スパイウェアは導入されないようだ。
テストしたいものの、ロジックボムが発動する不正シリアル・不正パスワードがわからないので、ここまでとする。
何だかどうも、納得がいかない部分があるのだが。
今回のロジックボムが発動し、マルウェアがインストールされるためには、ネット上で流通している不正なシリアル及びパスワードが必要らしい。
そしてそれらの不正シリアル等の存在を古田泰大氏が知り、これらを使って登録された場合に、警告を出す目的だったようだ。
つまり「明らかに不法な行為をしているユーザー」しか、影響は受けないようだ。
その点で、このスラド中のコメントなどはどうも釈然としないものがあるのです。「信頼を裏切った」のは、不正な利用者の方なのではと。
作者がトロイの木馬を故意に入れていたという事は、プログラマーと使用者の信頼を裏切る事になり、自作ソフトにウイルスが入っていないかまで検査し公開する善良なプログラマーとっては迷惑な話です。大体この作者、そんなに他人様の個人情報を知ったり、困らせたりするのが好きなんでしょうか。普通、プログラマーって使用者の動作環境は知りたいのですが、個人情報は知りたくない(と言うより”知る必要が無い”)ですよ。 IPアドレスとかの情報を入手してハッキングでもするつもりだったのでしょうかね。
スラッシュドット ジャパン トロイの木馬入りのシェアウェアVocal Cancelに注意
また、これもどうもヘン。
このような単なる推察の積み重ねとか、想像の産物としか評価しづらいようなコメントがスラドでは「すばらしい洞察」らしい。「5%の確立で混入」?何を言いたいんだろうか。
この問題のえげつない点は、正規シリアルを全て入力するわけにはいかない、っていう点だと思う。もし、バグで正規シリアルのうち、5%の確率でトロイが発生するシリアルが混入していた場合、それを見つけるのが難しい。仮に見つけたとしても、それを指摘するのが絶望的に難しい。ネットで騷いだ時点で、「不正」認定だろうし、シラをきられたら、ユーザー側はどうしようもない。
スラッシュドット ジャパン トロイの木馬入りのシェアウェアVocal Cancelに注意
マイクロソフトも不正コピー利用者に対しては、Windows Update経由での更新を抑制してるご時世。ソフト開発者の権利はどこかで守る必要があるのは事実だし。
このケースでは、不正なシリアルであればVocal Cancelの機能を停止する程度であったならば、ここまで問題扱いされなかったのではなかろうか。
古田泰大氏はlazy_dog氏に、これはトロイ・スパイウェアであると連絡したようだが。
連絡先を得る目的でのメーラーに登録されているアカウント取得のみではなく、アドレス帳の取得はやりすぎな感が。
(詳しい情報をお持ちの方がいたらば、知りたいので連絡していただきたい)
一応この場で断っておくが。不正なユーザーならどうなっても良かろうなどとは、Lucaさんは考えてはいない。そしてまた、ネット上でやりとりされるシリアル集などの利用者に対してポジティブな考えは持っていない。
ただ、ですね。
議論の流れがどうもおかしいような、違和感を感じるんですよ。
これがトロイの木馬なりスパイウェアなりのセンセーショナルな用語なのでこのように盛り上がるのであって。
これが「不正登録ユーザー警告機能」とかの名称であったならば、読み手の印象はかなり変わったような気がしました。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-07-03 Vocal Cancel問題とロジックボム(http://d.hatena.ne.jp/LucaLuca/20050703)を修正・加筆し移転したものです。
