Semplice - SpyAxeとZlob

SpyAxeとは

　Spyware Weekly Newsletterにて、2005年最悪のインチキスパイウェアとして10製品が紹介されたが、その筆頭がこのSpyAxeである。
　海外ではかなり有名な「怪しい」ソフトウェアなのだが、不思議な事に日本国内ではほとんど無名であり、一部の質問掲示板で名前をチラッと見かける程度だ。
　また日本国内のニュースポータルは、このSpyAxe関連記事を未だ掲載していないようだ。

　2005年12月、F-Secureのブログ (F-Secure)にSpyAxe関連記事が掲載された。
　このSpyAxeはDownloader.Win32.Zlob（F-Secure）というダウンローダー（原文ではTrojan-Downloader）により導入される。
　以下の内容は何を指すのか、どうもわからないのだが。Zlobの現物が手に入らないので、確かめようがない。問い合わせてみるか。

We found a way to see how many unique registration IDs have been handed out by the site Zlob registers with.
Who axed you? (F-Secure)

　SpyAxe (F-Secure)によれば、SpyAxeはZlobにより、ユーザーに知られずこっそりと・同意を得ずにインストールされる。
　SpyAxeによるスキャンでは、このZlobをマルウェアとして検出するのだが（SpyAxeを勝手にダウンロードしたのがこのZlobであるにも関わらずだ）。これをSpyAxeにより駆除するためには、金銭を支払いSpyAxeをレジストしなければならない。
　そしてZlobは以下のような警告を表示し、ユーザーを不安に貶めるようだ。

　これはWindows OSそのものが警告を表示しているよう誤解させ、特定の製品（SpyAxe）を導入するよう薦める内容である。

　またこのZlob作者は、その他の多くの怪しいセキュリティ対策製品と関わりがあるようだ。

　Zlobは、トロイの木馬ダウンローダです。Zlobの亜種は、マルウェアスキャナを感染コンピュータへ密かにダウンロードし、多くのサードパーティのスパイウェアをインストールします。（Spy Trooper, SpyAxe, Security Toolbarなど）
ウィルス情報 Zlob.cy (F-Secure)

　このSpyAxeを販売しているhttp://www.spyaxe.com/について、推論ながら興味深い記事があった。
　SpyAxe anti-spyware installed by trojan (ZDNet)
　www.spyaxe.comをnslookupすると195.225.176.68のIPアドレスが正引きされるのだが。このIPアドレスはウクライナである。またEstoniaのEstdomains社によりドメインが登録されている。このEstdomains社は多数のCoolWebSearch関連罠ページと関わりがあるそうな。

　なおSpyAxeに関しては、Trojan.Spaxe (Symantec）が詳細である。

SpyAxeをテストしてみる

　このようなケースでは、SpyAxeそのものをダウンロードしテストするのは、ほとんど意味が無い。
　Zlobに一旦感染させ、それよりSpyAxeを導入させなければ実態は不明なままなのだ。

　しかしながらこちらの情報収集力の低さのために、このZlobに感染させられるサイトが発見できず（かなり粘ったんですがね）。
　そのためこの場ではSpyAxeのみを軽くテストするのだが、不十分な内容となったのはご容赦願いたい。
　http://www.spyaxe.com/ を開いてみる。ページ上部の「FREE DOWNLOAD」または最下部の「download」よりダウンロードできるのだが、妙な事にダウンロードできたりリンク切れだったりと、おかしな具合だ。
　ダウンロードしたインストーラーは、このようなものである。
　

　テストに用いたのはおなじみWindowsXP SP2英語版、クッキーやレジストリ内Alexaなどを取り除いた、極めてクリーンな環境である。
　インストール成功。
　
　インストール後、いきなりスキャン開始。これはQuick Scan設定のようだが何も検出されない。
　そこでFull System Scanを実施するも、これまた何も検出されない。
　（もしもこの段階で何かが検出されたならば、それは問題が無いファイルをマルウェアとして検出したインチキ製品の可能性があるのだが）
　
　（*クリックで拡大）

　SpyAxeは既知のマルウェアを検出できるのか、これが気になるところだろう。
　
　（*クリックで拡大）

　Alexa Toolbar（http://www.alexa.com/）とCnsMin（http://www.3721.com/）をそれぞれインストールする。
　Full System ScanにてCnsMinは検出したがAlexa Toolbarは検出しなかった。
　
　（*クリックで拡大）

　またネットワークスニッファのVigilのログにても、不審なトラフィックは全く観察されない。
　うーん、つまらんなぁ。

　また一からテストを再開。SpyAxeをインストールし、スタートメニューより「Uninstall SpyAxe 3.0」を実行。OSを再起動する。
　SpyAxeインストール前とアンインストール後のレジストリを比較。
　Trojan.Spaxe (Symantec）にて削除するよう指示されているレジストリエントリは存在しなかったものの、レジストリには一部ゴミが残っていたので、100%完全なインストールとはならなかったが問題は無さそうだ。
　またスタートメニューの検索からなのだが、残存ファイル・フォルダはC:\Program Files\SpyAxeフォルダのみだけであった。

SpyAxeにより導入されるマルウェア

　2006年2月9日追記事項。

　これは悪質なスパイウェア対策製品で、インストール時に通常いくつかのトロイの木馬をバンドルしています。
Spyaxe（SpywareGuide）

　そのような活動は確認できなかった。

Conclusion

　SpyAxeそのものは、以下の理由にてBogus ware・インチキソフトとは決め付けられないようだ。

1. SpyAxeを強制インストールするZlobが発見できなかったので、SpyAxe単独でテストした。
   
2. 存在しないマルウェアを検出するインチキ行為は観察されなかった。
   
3. Alexa Toolbarは検出できなかったものの、CnsMin（中国版）は検出できた。
   
4. アンインストール後にゴミが多少残ったが、特に問題は無さそうだ。
   

　誤解しないでいただきたいのだが、インチキソフトと言い切れない点をもって、このSpyAxeおよびその関係者を野放しにするべきではない。
　Zlobなるダウンローダーと密接に結びついている事実、また数十万もしくはそれ以上の感染者を生み出している現状は、SpyAxe製造元が「宣伝を委託した広告会社が勝手にやっただけだ」と言い訳したとしてもそれは通じづらいだろう。
　（CoolWebSearchやその他悪質な企業は、そのような言い訳を常用しているようだが）

　また「SpyAxeに感染した！」との相談をいずこかで見かけたらば、まず対応すべきはSpyAxeそのものではなく、それを導入させた他のマルウェアなのだと知らせてもらいたい。これを見逃すべきではないのだ。

関連記事

　Bogus wareとRogue ware、インチキソフト
　FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング
　ランサムウェア（Ransomware）とFUD
　 マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）