Semplice - PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する

著名なインチキソフト（Bogus Ware）、PAL Spyware Remover

　PAL Spyware Removerは今より3年前に、インチキソフト（Bogus ware、Rogue ware）としてSpyware Warriorにて晒されたスパイウェア対策ソフトである。海外ではそこそこ有名なのだが、日本国内では全く無名の製品だ。
　何故にこれを今更取り上げたのかと言えば、本当にインチキならば（3年を経過した現在であっても！！！）このPAL Spyware Removerがネット上にて堂々と配布されているのはおかしいのではとの疑念である。

Spyware Warriorでの検証について

　Spyware Warriorはマルウェア対策の金字塔であり、その業績は計り知れないサイトである。
　しかしNew Rogue - Pal Spyware Remover - Don’t Try It!（Spyware Warrior）中にて紹介されているWebhelper Review: Pal spyware Remover - Don't Try or Buy! （Spyware Warrior）は、どうも十分には納得できなかったのだ。

　1. Doesn't scan registry
　2. Doesn't scan inside of compressed files
　3. Site is all ad hype without any real support.
　4. Check for update stated it was the current version
　5. Found 23 objects.
　6. The program looks only for file names that are in its database.
　Webhelper Review: Pal spyware Remover - Don't Try or Buy! （Spyware Warrior）

　（1）の「レジストリをスキャンしない」、これは多分definition databaseの貧弱さより判断されたのやもしれないが、具体的な説明が無いようだ。
　（2）の圧縮ファイルの中をスキャンしない、これは趣旨がわからず。
　（5）の「23項目が検出された」では、そのテスト機が十分にクリーンな環境だったのか否かがはっきりしない（多分間違いは無いとは思うよ、うん）。また実際に検出されたファイルが存在したのか否かについての言及を見出せなかった。

　また（6）の「データベース中にあるファイルの名称のみを見ている」、これもdefinition databaseの貧弱さに基づく判断なのだろうか。以前試したものとしてTeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎（Semplice）中にてPSGuardなるソフトウェアは、空ファイルをマルウェアが利用するファイルの名称にリネームしたらばこれを検出したのだが、そのような挙動をレポートしたのだろうか。ならば何も問題が無いカラのファイルでも作成し試すべきである。
　現在自分はこれに対する判断基準や検証の方法を定めていないので、今後の課題として検討する。

　このPAL Spyware RemoverをSempliceにて、100%インチキなスパイウェア対策ソフトであるとして扱うには、存在しないマルウェアを検出する・検出対象ファイルを自分で作成して騒ぐWinFixerのような説得力が欲しい。
　二番煎じになるのは承知の上なんですが。このPAL Spyware RemoverにてFalse Result（この場合存在しないマルウェアを検出するの意味）な結果が得られるものかを確かめてみたいのだ。
　（正直な気持ちとしてですが、3年前の検証例をそのまま紹介するにはやや古く難があるんですよ。）

PAL Spyware Removerの検証作業に供試する環境

「限りなくクリーンなWindowsOS」の準備

　今回実験に用いたのは、マルウェア・ウイルスの感染実験（Semplice）に従い設定したWindowsXP SP2英語版で、余計なソフトウェアはインストールせず・かつ問題を起こしうるものを取り除き（例としてレジストリ内Alexa）、「限りなくクリーンな環境」としたものである。これはWinFixer2005による脅迫は自作自演（Semplice）で用いたVirtualPCのゲストOSと同一のものであり、念のためdetemp、tmpファイルなどを削除しておいた。
　このような環境のWindowsOSよりマルウェアが検出されるのは、まずありえないだろう。

　今回の検証にてはVirtual PCを用いたのだが、実機でなければ十分な働きをしないマルウェアも存在するだろう。何かを見逃している可能性はここでは否定しないし、その点はご容赦願いたい。
　またマスメーリングやどこかのサイトを攻撃するような挙動を示すとは想定していないため、隔離したセグメントでの検証作業ではない。

PAL Spyware Removerの導入

　さて、いよいよ実験開始。念のためInternet Explorer経由ではなく、既にダウンロードしておいたインストーラーからインストールする。これは2006年3月13日にhttp://www.palsol.com/よりダウンロードしたものだ。

　UserNameは「paltestuser」、Organizationは空欄でセットアップ
　インストール後の表示では、Reference File: Ver 1.1 | Released: 31/03/2004、Protection against: 573 Adware typesとなっている。まず、アップデートしてみよう。

（*クリックで拡大）

　「A newer version of Spyware Remover is available!. Do you wish to get the download?」なるダイアログが出るのでYesを選択。「Adware definitions updated successfully, Please restart the application」の表示。OKを押す。
　この時点でVigilによるパケットキャプチャのログを確認。。。。。。おやぁ？テキストファイルなんですかね、シグネチャファイルは。なおシグネチャ更新のためダウンロードしていたファイルのURIは、http://www.palsol.com/products/psr//ref.datであった。

　OS再起動。
　デスクトップ上のPAL Spyware Removerの緑色のヒトデアイコンをダブルクリックして、と。


　Statusタブでは、Reference File: Ver 1.7 | Released: 20/02/2005、Protection against: 682 Adware typesとなった。1年前の日付なんですね。
　
　（*クリックで拡大）

　まずは「Full System Scan」を選択。


　スキャン終了、とりあえずは何も検出されなかった。

　（*クリックで拡大）

　「Scan completed」ダイアログの「OK」を押して、と。


　あらら。何も検出されなかったのに、妙なダイアログが。
　「Warnig! Spuware Remover has detected parasites in your PC. To remove them, you must register. To register click YES now!」
　（警告！Spyware Removerはあなたのパソコンにパラサイトを発見しました。これらを取り除くためには、あなたはレジストしなければならない。レジストするためにYesを今クリックしなさい！）


　うーん、とりあえずYES。
　Internet Explorerが起動し、「http://www.palsol.com/spywarer/order.html」が開く。

　（*クリックで拡大）

　この時点で、PAL Spyware Removerは、存在しない脅威をちらつかせ製品版の購入を強要したのは明らかだった。

多少意地悪な調査をしてみる

　C:\Program Files\PAL SPYREM\ref.datをメモ帳で開き、中身を確認。これはPAL Spyware Removerのシグネチャファイルだ。内容は単なるテキストであり、あまり意味は無いような。


　メモ帳を起動し、空のテキストファイルを作成。これを以下のファイルとしてリネームし、Cドライブ直下に放り込んだ。


　さて、またFull System Scan。。。。おぉ。この何も問題が無い、単なる空ファイルをマルウェア関連ファイルとして検出しました（netknlhm.dllは重複して検出された）。

　（*クリックで拡大）

　再三繰り返したが、Vigilによるパケットキャプチャのログには、不審なものは無い。どうやら個人情報の流出などは起きていないようだ。
　RegMonによるチェックの結果、このPAL Spyware Removerはレジストリのスキャンは行っていないようだ。これはSpyware Warriorで報告された通りだった。

おまけとして

　PAL Spyware Removerをタスクトレイより終了させなければ、スタートメニューよりのWindowsOSの再起動・シャットダウンができなくなった。

Conclusion

• 現在でもPAL Spyware Removerは、何も検出されなかったとしても感染していると表示するBogus Wareであった。
  
• しかしSpyware Warriorにてレポートされたような、存在しないマルウェアの検出は確認できなかった。何も検出されないのに騒ぐ、という不思議なソフトウェアであったのだ。
  
• 更新したものの、アップデートしたシグネチャファイルはReference File: Ver 1.7 | Released: 20/02/2005と、1年も前の日付であった。
  
• メモ帳より作成したテキストファイルを、マルウェア関連ファイルの名称にリネームしたものでさえ、PAL Syware Removerはマルウェアとして検出した。これはSpyware Warriorでの「ファイルの名称しか確かめていない」との主張を裏付けるものであった。
  

関連記事

　Bogus wareとRogue ware、インチキソフト
　ランサムウェア（Ransomware）とFUD
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか