2005年12月25日 - TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎
TeslaPlus.comとのプロローグ
- TeslaPlus社はPSGuard・WorldAntiSpyなどの評判が悪いソフトウェアを紹介している
- Googleのアドワーズ広告にて、TeslaPlus社および関連製品をキーワードにしている企業がある
- 当初は複数の悪質な企業がそれぞれタイアップしていると想定していたが、十分な検証は行えなかった
- 本文は250行程度の長文なので、目が疲れるとお嘆きならば最後のConclusionをざっと読んでもらいたい
最近はウイルスやスパイウェア・Adwareなどを駆除するとの名目で入り込む怪しいBogus wareが話題になっているのだが。これらはグレイウェア、または区分的に場合によっては(詐欺行為との名目で)クライムウェア(Crimeware)になるんだろうか。
(Bogus wareについては、2005年10月18日 - Bogus wareとRogue ware、インチキソフト(Semplice)を拝見願いたい)
以前ブラウザハイジャッカーに感染したユーザーのパソコンに勝手に導入されるとよく報告されているPSGuardについて何となく調べていたらば、ある海外掲示板にてPSGuardとWorldAntiSpyなるソフトウェアの両方がインストールされたとの内容の書き込みを発見した(リンク切れとなっているのでこの場では紹介しない)。
またDesktop Hijacked by PS Guard / Raze Software (SWI Forums)にてはPSGuardの感染及びwww.teslaplus.comへ誘導する表示が出たとのレポートがあった。
先月ふとしたはずみで、待望のteslaplus.comドメインで表示されるページ、http://www.teslaplus.com/search.php?wmid なるURIを発見した。そこではPSGuardと今回のネタであるWorldAntiSpyの2つを紹介しており、何となく興味をそそられたのだよ。
11月23日、このWorldAntiSpyをインストールしたのだが。特に不審な点は無いし、レジストリ内Alexaを検出する点でインチキとは思われず。
(*クリックで拡大)
またGoogleにて検索したのだが、このWorldAntiSpyを検索してもそれほど多くのサイトは見つからず、日本語のページはわずか14件であった。
ただ、以下のようなスポンサーサイトの広告がGoogle検索時に表示されたのが気になり。キャプチャ画像を保存しておいたのだよ。
この時点ではWorldAntiSpyは、McAFEE社とPanda Software社が検出対象としていたのだが。McAFEEがWorldAntiSpy(McAFEE)の検出名にて対応していたものの、詳細情報は無く。
Panda Softwareでは「スパイウェア・アドウェア・その他の手段にてfull versionを購入させようとする」程度の情報があるだけで、実態がよくわからなかった。
(12月24日現在、その他の主要なアンチウイルスソフトメーカーはこれには対応していないようだ)
teslaplus.com・PSGuard・WorldAntiSpyとアドワーズ広告
12月24日。そう、聖夜の夜だ。
独り身のLucaさんは首都圏に行く予定だったのだが、突発的な事情で中止となってしまいまして。時間と暇を持て余す寂しいクリスマスイブとなった。
空しい気分に浸りつつ、何となくネタ帳の未解決ネタを再チェックしてたんだが。
ふっと妙な点に気付いたのだよ、今更ながら。
。。。。。あれ?普通このようなマイナーな「怪しいソフトウェア」をGoogle検索した場合に、このような広告が出るものなのかぁ?
「teslaplus.com psguard worldantispy」の3つのキーワードにてGoogle検索したらば、どこかで見覚えのある広告が表示された。
注意深く試してみれば、「WorldAntiSpy」と「teslaplus.com」の2つが組み合わさった場合に、この広告が表示されるのに気付いたのだが。
「PSGuard」を含む検索にては「www.ScanForFree.com」の広告は「PSGuard Remover」の名称で表示。
リンク先はhttp://www.scanforfree.com/xoftspy2.htm
「teslaplus.com」と「WorldAntiSpy」を組み合わせた検索では、「TeslaPlus.com Remover」の名称で「www.ScanForFree.com」の広告が表示される。
リンク先はhttp://www.scanforfree.com/xoftspy.htm、念のためmhtファイルで保存しておく。
「teslaplus.com」単独では、「URL teslaplus.comに関する情報は見つかりませんでした。」となる。
「WorldAntiSpy」単独では、幾つかのサイトは検索結果として表示されるものの、11月23日に表示された広告は表示されない。
そしてwww.scanforfree.comよりは「XoftSpy」なるソフトウェアがダウンロードできるのだが。
XoftSpy421_137.exe
size=1936440byte
MD5=37a59eb7f8a2994bcfbbdbcdf7335a7e
さて、このXoftSpyのインストーラーなのだが。アイコンをよく覚えておいてもらいたい。
teslaplus.com関連ソフトの検証作業準備
WorldAntiSpyを以前テストした際には、レジストリ内Alexaを検出したが、それ以上の検証作業は行っていなかった。
今回は以下のような実験計画をざっと立てる。
- テストするOSはWindowsXP SP2英語版とする。これは万が一日本語環境下では正常に動作しない可能性を考慮したからだ
- 件出力については供試に耐えうる「ある程度古い」検体を所持していないため、考慮しない。これは2005年12月13日 - マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか(Semplice)でも記述したのだが、「まっとうな」ソフトであっても最新の検体は検出できないのはよくある話だからだ。
- 存在しないマルウェアを検出するのか否か(この点で引っかかれば、確実にインチキと言える)
- RootKit的テクニックは利用しているとは思いづらいので、今回はレジストリハイブファイルを直接開いての検証作業は、手間を省くために行わない。
- Vigilにてネットワークキャプチャし、個人情報等が勝手に送信されないか確認する。
- FileMon(File Monitor)により「本当にスキャンしているのか否か」を監視する。ただスキャン時間計即時には、これを利用しない。
- テストするソフトウェアのインストーラーは、予め他のパソコンよりダウンロードしたものを、テスト機に移し準備しておく(ダウンロード時に何かのマルウェアに感染するのを防ぐため)
さて、テスト機としてVirtual PCにてWindowsXP Professionalを準備。限りなくクリーンな状態である。これで何かが検出されたらば、異常事態か誤検出である。
念のため、以下のレジストリ内Alexa関連サブキーを丸ごと削除しておく。
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
11月23日にWorldAntiSpyを拾ったhttp://www.teslaplus.com/search.php?wmid を開いて、と。
おぉ!増えてる(笑
XSRemover、SpyDeface、WorldAntiSpy、WinHound、PSGuardの5つとなっているではないですか!
とりあえずダウンロード。ファイルのサイズとMD5シグネチャを確認する(なおこのMD5シグネチャの確認はabcdefさんより教わったコツである)
XSRemover_installer.exe(XSRemover)
size=132661byte
MD5=7e965f1b31b71769261a8eb28a18102f
SpyDeface_installer.exe(SpyDeface)
size=134505byte
MD5=850e2e21c0b409b4d598bb1aaab988e1
setup.exe(WorldAntiSpy)
size=3804789byte
MD5=b047ac2129bce50d8b079752a11938c8
WinHoundInstaller.exe(WinHound)
size=2620945byte
MD5=49693fa15155b8b0b4ee5bb8135fd0b9
PSGuardInstall.exe(PSGuard)
size=2547710byte
MD5=46e2e843231912f053380a3e699788c7
XSRemover、SpyDefaceの2つは、極端にファイルサイズが小さい。どうも妙ですね。
WinHoundとPSGuardのインストーラーのアイコンは、前述の「XoftSpyのインストーラー」と同一。不思議ですな。
PSGuardは感染していなくても警告する
PSGuardをインストール。インストール直後よりスキャンが始まるのだが、スキャンに要した時間は52秒。
この時点ではVigilのログには、外部(WAN)への接続は確認できない。
さて、何も検出できなかったのだがスキャン終了時にダイアログが2つ出る。
2番目のダイアログに従い、Intelligent CleanupよりStartを選択すると、随分と激しい内容のダイアログが出て、警告されてしまったよ(笑
Warning!
This Computer is infected with malicious ware, and your system security is at serious risk.
Malicious programs can damage and change important components, which results in unstable system operation, poor performance and loss of valuabledata + irritating popups with porn or search page.
PS Guard doesn't remove viruses and spyware in demo version.
We seriously recommend you to register PSGuard!
つまり「何にも感染していなかった」としても、このPSGuardは「警告!このコンピューターはマルウェアに感染しており、あなたのシステムセキュリティは深刻な危険事態となっている」なる表示が出るのだな。
これは明らかにインチキ、である。
「Click here to register your copy of PSGuard」を押す。
「PSGuard :: Registration」なるダイアログが表示され、更にhttpsにて「https://secure.shuddex.com/?pid=8&aff=0&sub=0」がブラウザで表示される。
Vigilのログではwww.pcsuard.comとhttps://secure.shuddex.com/が関わりがあるのは明らかだ。
再度試してみよう。FileMon(File Monitor, Sysinternals社)を使い監視したが、一応真面目にスキャンはしているようだった。
(*クリックで拡大)
さて、ここで意地悪してみよう。
C:\WINDOWS\system32\partner.txt、またC:\notepad32.exe、C:\divx.exeなる空ファイルを作成し、再度スキャンしてみよう。これはメモ帳を使い新規のテキストファイルを作成し、このような名称にリネームしただけの全く無害のものである。
スキャンの結果、「Infected objects detailed」にこの3つが検出され表示される。
要するにこのPSGuardは、ファイルの中身は一切確認せず、「ある名称のファイルがある場所に存在するか否か」のみをもって「検出」としているようだ。
ちなみに検出名は、以下のようになっていた。
C:\WINDOWS\system32\partner.txt : SearchSquire
C:\notepad32.exe : CoolWebSearch
C:\divx.exe : DivX Updater
大変興味深い現象なのだが、このPSGuardはWorldAntiSpyをマルウェアとして検出する。同じteslaplus.comよりダウンロードでき、並べて紹介されているのにも関わらず、だ。
WorldAntiSpyは正常なファイルをマルウェアとする
インストール直後のデフォルト設定では、Scan depthは「Quick」、Scan priorityは「Medium」であった。この状態ではわずか21秒でスキャンが終了。RegistryはKeys: 137196, Values: 1829、FilesystemはFiles: 197, Cookies: 0、MemoryはProcesses: 17, Module: 17である。
なおDatabaseは239300となっており、随分とシグネチャが膨大なのだなぁ、としみじみする。
スキャン設定を変えてみよう。
Scan depthを「Deep」に変更しスキャンしてみる。11分30秒でスキャンは終了。
「Spyware / malware detected! Your security is in danger!」なる警告が表示される。
(*クリックで拡大)
右下の赤い「REGISTER」がピクピクと心臓の鼓動のように怪しく蠢いており、どうやらこれを押させたいらしい。
押してみると妙なポップアップが出て、またhttpsにてhttps://secure.worldantispy.com/?aff=0&sub=0へ接続される。
だが、ここで個人情報を入力し購入するのは待ってもらいたい。
まずは検出されたC:\WINDOWS\desktop.iniとC:\WINDOWS\system32\desktop.iniの詳細情報を見てみよう。
Vendor: Bagkeys
Vendor description: Bagkeys is a monitoring utility that captures all keystrokes typed and stores the information into a log file for later retrieval.
Type: File
Category: System Monitor
Name: C:\WINDOWS\system32\desktop.ini
Description:
この2つのdesktop.iniファイルは元々Windowsに備わっているものであり、WorldAntiSpyで警告されたキーロガーでもモニタリングユーティリティでもないのだよ。
desktop.iniファイルについて、Microsoftは以下のように解説している。
Desktop.ini ファイルには、ユーザーがファイル フォルダおよびそのコンテンツを参照する際に、それらが表示される方法に関する情報が保存されます。
Desktop.ini ファイルは、フォルダを表示するためには必要なく、すべてのフォルダに存在するものではありません。
Desktop.ini ファイルがフォルダに存在している場合、Desktop.ini ファイルにはそのフォルダにアクセスしているプログラムによって含まれる情報が異なります。たとえば、Windows Explorer では、フォルダを示すアイコンの名前および場所、マウス ポインタをフォルダ上に配置する際に表示されるヒントのテキスト、またはフォルダに含まれるファイルを表示する方法を保存するために Desktop.ini が使用される場合があります。
“Desktop.ini” ファイルとは何ですか?(Microsoft)
このdesktop.iniファイルが何か汚染されているのだろうって?いや、そうではなかったのだ。それぞれのdesktop.iniファイルをメモ帳にて開くと、その中身は空であった。
繰り返しになるが、2つのdesktop.iniファイルを悪質なものとして検出したのだが。ここで検出されたファイルは全く無害なものであり、なおかつWindows XPなら当然備わっているだろう。
もちろんこの製品を製造したメーカーがリリース前にテストした環境にても存在するだろう、当然。
そのような初歩的なミスをメーカーが犯し偶発的なミスにより誤ったシグネチャファイルを備えたバージョンが公開され、結果として誤検出させるとは考えづらい。
結論としてこのWorldAntiSpyは、所謂インチキであり。存在しない脅威をでっちあげ、ユーザーの不安を煽っているのだ。
SpyDefaceのテスト結果
このソフトウェアのインストーラーが極めて小さいサイズであった点は、不審だったのだが。インストール時にwww.spydeface.comより各種ファイルをダウンロードしていると気付き、謎が氷解した。
インストールし、デフォルトの状態でのスキャンが終わった直後の状態である。
(*クリックで拡大)
デフォルトの「Quick Scan」にてわずか16秒でこれだけのファイル及びレジストリをスキャンできるなんて、凄いですね(笑
今度はFileMonでキャプチャ開始直後に、このSpyDefaceによるスキャンを開始。スキャン終了直後に手動でFileMonのキャプチャを停止したんだが。
ログを眺め、一応ファイルの有無はチェックしてるんだ感心感心。とうなってたらばですね。
FileMonのログの行数は21923。もちろんこの中にはSpyDefaceのスキャンにおけるQUERY INFORMATIONとは関わりが無いものや、ファイル・フォルダを開き閉じた重複分も含まれるのだが。
SpyDefaceの「SPYWARE SCAN DETAILS」では「Filesystem items inspected: 24579」。はて、数が足りないような。
その他の機能として、Tracks eraserなどがある。これはCookieやInternet Explorerの履歴、WindowsXPにて最近利用したプログラムのリストなどだ。
「Select all」を選択し「Erase selected tracks」を押すと、いきなり購入を促す画面が出た。この機能は体験版としては利用できないらしい。
SCAN OPTIONより「Full system scan」を選択しよう。スキャン開始。しかし20秒で終了する。
スタートメニューよりアンインストールを試みる、のだが。普通にアンインストールでき、特に不審な点もない。またブラウザが開き「アンインストールした理由は何ですか?」とのアンケートが表示されるが、これは回答せず閉じても問題は無かった。
唯一不審な点として、インストール時にユニークなIDを割り当てる点だ。この末尾の数字はインストールを繰り返すたびに上がっていったので、何かの目的で利用されているのだろう。
XSRemoverはWorldAntiSpy.com製品だった
インストールして気付いたのだが、これは先ほど利用したSpyDefaceと妙に似ているのだよ。スキャン開始時の「Prepare can..」の表示やスキャンオプションの個別の項目は同一である。
Vigilのログを眺め、驚いたのだが。これも先ほどのSpyDefaceと同様、インストール時にhttp://www.xsremover.com/get_lic.php?action=get_id より個別のIDを送信されていたのだが、そのIDの数字が先ほどSpyDefaceで得たIDと極めて近いのだな。理由は不明だが。
(*クリックで拡大)
デフォルトではSCAN OPTIONSは「Quick scan」であるが、わずか17秒で終了した。
「Full system scan」を実行。これも17秒で終了する。
またVigilのログを再チェックし気付いた点なのだが。XSRemoverインストール時に、http://www.xsremover.com/に接続しているのだが、それはまぁ良いだろう。
更に不審な事に、インストール直後に起動しスキャンが開始すると、http://www.worldantispy.com/.s/xsremover/に接続しているのだな密かに。このWorldantispy.comはつい先ほどテストしたばかりの、インチキソフト配布元ではないか。
インストールの度にVirtualPCのゲストOSを初期化しているので、前回WorldAntiSpyをテストした際に何かが残っていた可能性はありえない。
WinHoundのテスト結果
WinHoundはインストーラーのアイコンが前述のPSGuardと同一である点で、大いに期待できるソフトウェアである。
起動時に表示されるスプラッシュ画面、これがあまりにもカッコイイので、驚く。感動したので切り出して紹介する。
初回スキャン後に、妙なダイアログが出たのだが。「Microsoft Internet Explorer」?何故にWinHoundによる表示なのに、Internet Explorerが表示したように装うのだ?
大体このソフトウェアは、メニューがどこにあるのかもわかりづらく、大変操作性が悪いように思われる。
(*クリックで拡大)
一番下の「Back」を押せばConfigurationが表示されるものの、スタート時に起動するか、Scan priority、Scan depthと極端にシンプルな構成である。
Scan depthのデフォルト設定「Quick」より「Deep」に変更し、スキャンしてみよう。7分8秒後、スキャン終了。結局何も検出されなかった。
結論なのだが、このWinHoundのテストにては不審な点は見つからなかった。唯一不審な点は、これが同じサイトにて紹介されているWorldAntiSpyを、マルウェアとして検出する点のみだ。
2005年12月29日追記事項
Windowsメタファイル(WMF形式)の脆弱性を利用した悪質なトラップが存在するらしい。これは現在の段階で全てのパッチを導入しているWindowsXPであっても被害を受けるらしい。
XPなど複数のWindows OSに深刻な脆弱性、“0-day exploit”も登場(INTERNET Watch)
SANS Institutの解説中に、WMFファイルを利用したトラップによりこのWinHoundをインストールさせられるサイトの存在が明記されている。
偽アンチスパイウェア/ウイルスプログラムと明記されているようだが、どのような点がfakeなのだろうか。
The HTML file runs another WMF (Windows Meta File) which executes a trojan dropper on a fully patched Windows XP SP2 machine.
The dropper will then download Winhound, a fake anti-spyware/virus program which asks user to purchase a registered version of software in order to remove the reported threats.
Windows WMF 0-day exploit in the wild (SANS)
XoftSpyのテスト結果
いよいよ本命である。これはGoogleにスポンサーとしてアドワーズ広告を表示させている業者であり、不思議な事にPSGuard、WorldAntiSpy、teslaplus.comの3つをその登録キーワードとしている。
XoftSpy421_137.exeのインストーラーはWinHoundとPSGuardのインストーラーとアイコンが同一なのも気になるのだが。
まずはXoftSpy 4.21をインストールしてみよう。。。。。。。なんか先ほどまでと、雰囲気が微妙に違う。
Vigilのログではhttp://www.paretologic.com/xoftspy/coreupdate/XoftSpy421.zip、http://www.paretologic.com/xoftspy/update/database137.zipを確認しているようだ。
(*クリックで拡大)
初スキャンは16分で終了。何か1つ検出されていたので、Object Detailsより詳細情報を見てみよう。
えーっと。実験中にWindowsの自動更新が動くと面倒なので停止させていたのだが、それをマルウェアがよく改変するレジストリとして検出したらしい。いや、これって別に検出し製品を購入させるだけのものなんですかね。
Removeを押すとRegistrationが開くのだが。どうやら「Get Registration Code」を開かせたいらしい。これを押すと「http://www.paretologic.com/xoftspy/purchasereg.asp」に接続され、Home License (one computer)$39.95などの料金が表示される。
今回のテストにては、不審な点は特には見つけられなかった。残念。
Conclusion
- teslaplus.comは5つのセキュリティ対策製品(Anti Spyware Soft)を紹介しているが、それらの幾つかは「共食い」し、同じページよりダウンロードする他のソフトをマルウェアとして検出した。
- Googleのアドワーズ広告にてteslaplus.comとその関連製品を目の敵としている、www.scanforfree.comは特に不審さは無い。また互いに何か繋がりがあるのではと期待したものの、証拠は見つからなかった。
- www.scanforfree.comよりダウンロードした「XoftSpy」は、不審な点は存在しなかった。
- PSGuard、WorldAntiSpyはそれぞれBogus Ware(インチキソフト)であり、検出された存在しない脅威を解決するためにレジストするよう要求した。
- XSRemoverはWorldAntiSpy社の製品であった。またSpyDefaceとほぼ同一のソフトウェアであったが、SpyDefaceはWorldAntiSpy.comへは接続しなかった。
この記事へのコメント
SpyDefaceとSpyDefenceのスペルの相異って何なんでしょうか?
日本語化パッチが出たので興味を持ちましたが、今のところ胡散臭い感じがします。
日本語化パッチが出たので興味を持ちましたが、今のところ胡散臭い感じがします。
Posted by ベルモンツ
at 2006年01月04日 03:25
今回テストしたのはSpyDefaceでした。。。。。。。
スペルミスを今の今まで見逃ておりました。
わざわざ指摘していただきありがとうございます。
スペルミスを今の今まで見逃ておりました。
わざわざ指摘していただきありがとうございます。
Posted by Luca
at 2006年01月04日 06:58
