2006年03月25日 - MalwareWipeを導入させる不審サイト
土曜の午後に海外サイトで調べ物をしていたらば、何かに感染していると警告する騙しサイトを発見した。ありきたりな話だが、折角なので紹介する。
テスト機はWindows XP SP2英語版。PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する(Semplice)で利用したVirtual PCのゲストOSであり、マルウェア・ウイルスの感染実験(Semplice)に基づき設定し、念のためdetemp、tmpファイルなどを削除しておいたものである。
Internet Explorerの「Home page(起動したらば表示されるページ)はabout blankである。
これを起動し、Internet Explorerのアドレス欄にhttp://www.systemupdates.net/を直接入力して、Enterキーを押して、と。
まずは画像を見てもらいたい。
(*クリックで拡大)
「WARNING! Spyware detected.」の項目が大変素晴らしく、笑いをこらえるのが大変だった。「Attention! Your sytem is under control of remote computer with IP address 227.4.167.118. The remote computer has access to the following folder on your PC: 」
また「Your IP address: 」の項目には、こちらのIPアドレスが掲載されていた。
。。。。。。なんて低レベルな騙しサイトなんだろうか。
閲覧者のIPアドレスやブラウザのバージョンなどの環境変数を取得し、それを表示させて閲覧者を驚かせるつもりらしい。
「Your private info is collected by W32.Sinnaka.A@mm」、つまり「あなたの個人情報はW32.Sinnaka.A@mmにより収集されています」なのだそうだ。このウイルスに感染していると虚偽のレポートを表示し、これで不安を感じさせて怪しいソフトウェアをインストールさせるつもりだったのだな。
ちなみにこのW32.Sinnaka.A@mm(Symantec)には、もちろん感染はしていない。
(どうせならば著名なスパイウェアの名称をちらつかせれば良かったのになぁ)
ブラウザで閲覧しただけでこれを検出できたならば大変素晴らしいテクノロジーですね!!!感動しました!!!!(笑
Pest TrapのFree Downloadはリンク先はhttp://www.pesttrap.com/install.php?advid=(3桁の数字)&s=0&lix=2。こちらはインストール時にエラーが出て導入できなかった。
MalwareWipeのFree Downloadはリンク先はhttp://malwarewipe.com/download.php?rid=(3桁の数字)。これはMcAFEE社よりAdware-Malwarewipe(McAFEE)として扱われる怪しい製品だ。
2006年4月7日追記事項
More security hijack sites...(Sunbelt Blog)にて同一の不審サイト(http://yoursecuritysystem.com/)が紹介されていた。これは今回紹介したhttp://www.systemupdates.net/とドメインこそ違えど瓜二つだ。
なおこれらの不審サイトは、Zlobに感染したパソコンにて表示される場合がある点を追記しておく。
今回供試したMalware Wipeのインストーラーは、このようなものである。
mw_install.exe
size=2938485byte
MD5=4e95f98a9cc4efd276094a53dbb07dbb
インストール終了、デスクトップに画像ができた。
おや?これはSpyAxeとほぼ同様の外観だ。どうやらSpyAxeファミリーなのだろう。
(*クリックで拡大)
UpdateしたらばVigilのログにwww.MalwareWipe.comへのトラフィックがあったのだが、個人情報の流出などは確認できなかった。
「Select folders you want to scan」にてCドライブにチェックを入れて、Full System Scanを実行。
スキャンは数秒で終了し、何も検出されない。
。。。。。。つまらないなぁ。ここで何か存在しないマルウェア(Malware)が検出されたらば、インチキソフト(Bogus ware)として扱えたんだけど。
さて、MalwareWipeがセキュリティ対策ソフトであるならば(もしくはそう装っているだけならば)、アドウェアか何か検出できるのかが気になるのだ。
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)を導入し、MalwareWipeがこれを検出するかどうかを試してみよう。
おや?3721.comのCnsMinのインストールに失敗した。どうしたんだろう。
気をとりなおしスキャン、と。しかしAlexa ToolbarとHotBarは検出できなかった。
そう言えばSpyAxeはCnsMinは検出したが、Alexa Toolbarは検出しなかったな(SpyAxeとZlob)。
2006年4月1日追記
Precision TimeのAd-Support無料版(http://www.precision-time.com/)はClaria Corporation(旧称:Gator Corporation)のGainが入っている。これを検出できるだろうか。
これは他のマシンより予めダウンロードし準備しておいたインストーラーではなく、Rrecision TimeのサイトよりInternet Explorer経由で導入させた。
さて、Malware WipeはGAINを検出できるのか(笑
。。。。。。。。検出できたよ、うーむ。
まず画面右下のタスクトレイより、MalwareWipeを停止させる。
次に、スタートメニューのUninstall MalwareWipe 4.0よりアンインストールを試みる。
C:\Program Files\MalwareWipeフォルダにmalwarewipe.iniというファイルが残るのを除けば、残存するファイルは無いようだ。
(アンインストール操作前にMalwareWipeを停止していなければ、exeファイルが残るので注意してもらいたい)
レジストリはどうだろうか。
HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\ CLSID\ {A5C70510-5A01-B2A5-CF84-D6DC13859967}関連を除けば、ゴミは残っていないようだ。
プライバシー政策(MalwareWipe)(http://malwarewipe.com/privacy.php?lang=jp)を眺め、他人事ながらもう少しまともな日本語にしたらばと。
SpyAxeとZlob
虚偽の感染警告をちらつかせるサイトの概要
テスト機はWindows XP SP2英語版。PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する(Semplice)で利用したVirtual PCのゲストOSであり、マルウェア・ウイルスの感染実験(Semplice)に基づき設定し、念のためdetemp、tmpファイルなどを削除しておいたものである。
Internet Explorerの「Home page(起動したらば表示されるページ)はabout blankである。
これを起動し、Internet Explorerのアドレス欄にhttp://www.systemupdates.net/を直接入力して、Enterキーを押して、と。
まずは画像を見てもらいたい。
(*クリックで拡大)
「WARNING! Spyware detected.」の項目が大変素晴らしく、笑いをこらえるのが大変だった。「Attention! Your sytem is under control of remote computer with IP address 227.4.167.118. The remote computer has access to the following folder on your PC: 」
また「Your IP address: 」の項目には、こちらのIPアドレスが掲載されていた。
。。。。。。なんて低レベルな騙しサイトなんだろうか。
閲覧者のIPアドレスやブラウザのバージョンなどの環境変数を取得し、それを表示させて閲覧者を驚かせるつもりらしい。
「Your private info is collected by W32.Sinnaka.A@mm」、つまり「あなたの個人情報はW32.Sinnaka.A@mmにより収集されています」なのだそうだ。このウイルスに感染していると虚偽のレポートを表示し、これで不安を感じさせて怪しいソフトウェアをインストールさせるつもりだったのだな。
ちなみにこのW32.Sinnaka.A@mm(Symantec)には、もちろん感染はしていない。
(どうせならば著名なスパイウェアの名称をちらつかせれば良かったのになぁ)
ブラウザで閲覧しただけでこれを検出できたならば大変素晴らしいテクノロジーですね!!!感動しました!!!!(笑
Pest TrapのFree Downloadはリンク先はhttp://www.pesttrap.com/install.php?advid=(3桁の数字)&s=0&lix=2。こちらはインストール時にエラーが出て導入できなかった。
MalwareWipeのFree Downloadはリンク先はhttp://malwarewipe.com/download.php?rid=(3桁の数字)。これはMcAFEE社よりAdware-Malwarewipe(McAFEE)として扱われる怪しい製品だ。
2006年4月7日追記事項
More security hijack sites...(Sunbelt Blog)にて同一の不審サイト(http://yoursecuritysystem.com/)が紹介されていた。これは今回紹介したhttp://www.systemupdates.net/とドメインこそ違えど瓜二つだ。
なおこれらの不審サイトは、Zlobに感染したパソコンにて表示される場合がある点を追記しておく。
MalwareWipeを導入する
MalwareWipeを簡単にテストする
今回供試したMalware Wipeのインストーラーは、このようなものである。
mw_install.exe
size=2938485byte
MD5=4e95f98a9cc4efd276094a53dbb07dbb
インストール終了、デスクトップに画像ができた。
おや?これはSpyAxeとほぼ同様の外観だ。どうやらSpyAxeファミリーなのだろう。
(*クリックで拡大)
UpdateしたらばVigilのログにwww.MalwareWipe.comへのトラフィックがあったのだが、個人情報の流出などは確認できなかった。
「Select folders you want to scan」にてCドライブにチェックを入れて、Full System Scanを実行。
スキャンは数秒で終了し、何も検出されない。
。。。。。。つまらないなぁ。ここで何か存在しないマルウェア(Malware)が検出されたらば、インチキソフト(Bogus ware)として扱えたんだけど。
MalwareWipeはアドウェアを検出できるのか?
さて、MalwareWipeがセキュリティ対策ソフトであるならば(もしくはそう装っているだけならば)、アドウェアか何か検出できるのかが気になるのだ。
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)を導入し、MalwareWipeがこれを検出するかどうかを試してみよう。
おや?3721.comのCnsMinのインストールに失敗した。どうしたんだろう。
気をとりなおしスキャン、と。しかしAlexa ToolbarとHotBarは検出できなかった。
そう言えばSpyAxeはCnsMinは検出したが、Alexa Toolbarは検出しなかったな(SpyAxeとZlob)。
2006年4月1日追記
Precision TimeのAd-Support無料版(http://www.precision-time.com/)はClaria Corporation(旧称:Gator Corporation)のGainが入っている。これを検出できるだろうか。
これは他のマシンより予めダウンロードし準備しておいたインストーラーではなく、Rrecision TimeのサイトよりInternet Explorer経由で導入させた。
さて、Malware WipeはGAINを検出できるのか(笑
。。。。。。。。検出できたよ、うーむ。
MalwareWipeをアンインストールする
まず画面右下のタスクトレイより、MalwareWipeを停止させる。
次に、スタートメニューのUninstall MalwareWipe 4.0よりアンインストールを試みる。
C:\Program Files\MalwareWipeフォルダにmalwarewipe.iniというファイルが残るのを除けば、残存するファイルは無いようだ。
(アンインストール操作前にMalwareWipeを停止していなければ、exeファイルが残るので注意してもらいたい)
レジストリはどうだろうか。
HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\ CLSID\ {A5C70510-5A01-B2A5-CF84-D6DC13859967}関連を除けば、ゴミは残っていないようだ。
MalwareWipeの日本語サイト
プライバシー政策(MalwareWipe)(http://malwarewipe.com/privacy.php?lang=jp)を眺め、他人事ながらもう少しまともな日本語にしたらばと。
Conclusion
- 何にも感染していないのにW32.Sinnaka.A@mmに感染していると警告し、Pest TrapとMalwareWipeの導入を促すサイトを発見した。
- MalwareWipeはSpyAxeの外観をやや変更しただけのソフトウェアと考えられる。
- MalwareWipeは今回テストした2種のアドウェアを、スキャンにて検出できなかったが、GAINを検出できた。
- 存在しないマルウェアをレポートするような活動は行わなかったため、ここではBogus Wareとしては言い切れなかった。
- MalwareWipeのアンインストールは正常に成功した。
- 今回はMalwareWipeをインストールさせるダウンローダー系マルウェアを介さず、直接http://malwarewipe.com/よりダウンロードした。これを勝手に導入された事例であるならば、アンチウイルスソフトでスキャンしダウンローダーを発見・駆除する必要があるだろう。
関連記事
SpyAxeとZlob
この記事へのコメント
私から見て遙か昔のお話。
HotBarはIEをカスタマイズするお薦めツールとして、PC雑誌に載っており、早速導入したっけ。
幸い(?)、この頃は9x系だったので、トラブルと共に消失してしまい、以来入れたことはありませんけどね。
後にスパイウェアだったと分かり仰天したものです。(^-^;)
HotBarはIEをカスタマイズするお薦めツールとして、PC雑誌に載っており、早速導入したっけ。
幸い(?)、この頃は9x系だったので、トラブルと共に消失してしまい、以来入れたことはありませんけどね。
後にスパイウェアだったと分かり仰天したものです。(^-^;)
Posted by ベルモンツ
at 2006年03月30日 19:50
それは初見でした、そのような過去がHotBarにあったとは。
ちなみにどんな雑誌だったんでしょうか。具体的な名称でなくても構いませんので、それとなーく教えていただけませんか。
ちなみにどんな雑誌だったんでしょうか。具体的な名称でなくても構いませんので、それとなーく教えていただけませんか。
Posted by Luca
at 2006年03月31日 06:23
私も最近「WARNING! Spyware detected.」にやられてしまいました。それからスパイウェア駆除ソフトを調べ回った後、ここにたどり着きまして、少し安心した次第ですが、IEのabout blankが解除できません。どうしたら直せるんでしょうか?教えていただけないでしょうか?
Posted by nori
at 2006年04月11日 01:33
それは大変奥が深く詳しく書くと長くなりますのでサクッと。
ホームページハイジャッカーを完全に取り除けているならば、一般的解答としては
1)IEのインターネットオプションよりプログラムタブを開き、「Web設定のリセット」が最も手軽で安全。
2)修復できないならばInternet Explorerをアンインストール・再導入。
自分ならばアダルトサイト被害対策の部屋にて公開されている「Internet Explorer関連レジストリの完全なリセット」用ツールを利用します。
http://www.higaitaisaku.com/cleanfixreg.html
これでもまだ改善しない・時間が経つといつの間にかまたやられるならば、何かのマルウェアを見逃している可能性を考えます。
ホームページハイジャッカーを完全に取り除けているならば、一般的解答としては
1)IEのインターネットオプションよりプログラムタブを開き、「Web設定のリセット」が最も手軽で安全。
2)修復できないならばInternet Explorerをアンインストール・再導入。
自分ならばアダルトサイト被害対策の部屋にて公開されている「Internet Explorer関連レジストリの完全なリセット」用ツールを利用します。
http://www.higaitaisaku.com/cleanfixreg.html
これでもまだ改善しない・時間が経つといつの間にかまたやられるならば、何かのマルウェアを見逃している可能性を考えます。
Posted by Luca
at 2006年04月11日 07:25
早速にありがとうございました。
一通り、やってみました。IEのabout blankは解除でき、ホームページは設定できるのですが、ホームアイコンを押すと設定したページではなく、例の「WARNING! Spyware detected.」が出てきてしまいます。
もう少し、見逃していると思われるマルウェアを探してみようと思います。
一通り、やってみました。IEのabout blankは解除でき、ホームページは設定できるのですが、ホームアイコンを押すと設定したページではなく、例の「WARNING! Spyware detected.」が出てきてしまいます。
もう少し、見逃していると思われるマルウェアを探してみようと思います。
Posted by nori
at 2006年04月12日 00:40
ブラウザヘルパーオブジェクト(BHO)かホームページハイジャッカー、または他のマルウェアによる改変のような気がします。
自分はローカルでの直接パソコンを操作しての修復作業はか場数を踏んでおりますが、ネット上でのやりとりは苦手なのでお力にはなれません、すいません。
自分はローカルでの直接パソコンを操作しての修復作業はか場数を踏んでおりますが、ネット上でのやりとりは苦手なのでお力にはなれません、すいません。
Posted by Luca
at 2006年04月12日 21:06
ちょっとアンインストールのやり方がわかんなかった。
けどMalwareがあまり良いサイトでないことがわかりました。ありがとうございます。
けどMalwareがあまり良いサイトでないことがわかりました。ありがとうございます。
Posted by
罵屡駕
at 2006年10月25日 18:55
