2006年07月21日 - CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?
This article includes simple English summary on next article.
CyberDefender AntiSpyware 2006はCyberDefender Corp.なる企業が販売しているアンチスパイウェアソフトであり、ネット上ではSpyBlocsとの関係を指摘されBogus ware(インチキソフト)扱いされている。m-file氏のコメントによれば、CyberDefender AntiSpywareを導入後、Spybot等がSpyBlocsとして検出したという。
CyberDefender社は怪しい製品を販売しつつも、フィッシング詐欺対策ツールとしてCyberDefender Security Toolbarなる製品を公開しており、これは多くの海外ニュースポータルやまた日本企業が宣伝している。
これらは信頼できる製品なんだろうか?
今回はCyberDefender AntiSpywareについて話を進める。
Spyware Warriorの短い解説を引用し紹介するが、eBlocs社のSpyBlocsという評判の悪いソフトウェアとの関連が掲載されているのみであり、具体的な理由、つまり何故にインチキソフトなのかは掲載されていない。
ちなみにこのCyberDefender AntiSpywareは、日本国内では2006年7月14日よりアルテック株式会社が「CyberDefender AntiSpyware 2006 (アルテック)(http://www.altech-ads.com/product/10002723.htm)」のページにてわざわざ購入代行サービスを行っている。
SpyBlocs/eBlocs - Rogue Status Update (Spyware Warrior)にてはアンインストールできないなどの情報が掲載されているものの、関連リンク先が404エラーなので詳細情報がわからず。
mashさんよりeBlocs.com (No Spyware)を紹介していただいたのだが、どうもSpyBlocsそのものによる影響ではなく、他のアドウェアによって引き起こされたような気がする。
Symantec社ではSpyBlocsについてこのように言及している。
リダイレクト先はかなり長いURIだ。
(eBlocsはSpyBlocsのメーカーである)
C:\Program Files\CyberDefender\AntiSpyware\CDAScfg.iniには「InstSpyBl03=1」というSpyBlocsを連想させる文字列がある。
ネットワークキャプチャの結果、spybl.cyberdefender.com.へ「HEAD /wsliveup/advisor/wsliveup.dat.03 HTTP/1.1」のトラフィックが生じた。
自動アップデート時にはdownload.cyberdefender.comより「 /as2006/spyblpat14.dat.03」や「 /as2006/spybl03.exe」などをダウンロードしようとするのを確認した、のだが。何だかよくわからない結果となった。spybl.cyberdefender.com:6083に接続した際に凄まじい数のIPアドレスと5000以降のPort番号の組み合わせが送られ、各種ファイルのダウンロードはこれらのうちいずれかにて行われるようだ。負荷分散か?
ダウンロード後には、cdaspat14.dat.03やcdas03.exeのようにリネームされC:\Program Files\CyberDefender\AntiSpyware\WsLiveUpFiles中に保存されるようだ。OS再起動後にC:\Program Files\CyberDefender\AntiSpyware中のファイルと置換されるだろう。
SpyBlocsはSpyBlocs (Symantec)にて「SpyBlocs は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。」として掲載されている。
この解説中に「C:\Program Files\eBlocs\SpyBlocs\spyblpat14.dat.03」などのファイル名がチラホラと見つかるだろう、これは今回CyberDefender導入後にダウンロードされたファイルである。
7月1日にはインストール後にアップデート操作をしOSを再起動、Signature Databese: 6.06.29.21、Update AS2006 AntiSpyware: 1.06.29.04となった後に追試したが、インストール直後の状態でも結果は変わらなかった。
同様に7月21日にSignature Databese: 6.07.19.22、Update AS2006 AntiSpyware: 1.07.20.02となった後に追試したが、結果は変わらなかった。
Windows2000 SP4導入直後のマシンを用意。
CyberDefender Corp.よりダウンロードし導入したインストーラーはこのようなものである。
供試したWindows2000 SP4にては、HKCU\Software\Microsoft\Internet Explorer\Explorer Barsには{32683183-48a0-441b-a342-7c2a440a9478}の値があるのみである。
この状態ではCyberDefender AntiSpyware 2006は何も検出しないだろう。
さて、「ファイルやフォルダの検索」を実行する。一回目は「ファイルまたはフォルダの名前」を「1st」として検索、2回目は2nd、3回目は3rdだ。
(*クリックで拡大)
「HKCU\Software\Microsoft\Internet Explorer\Explorer Bars」に{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}の名称のキーが作成される。
CyberDefender AntiSpyware 2006によるスキャンはどうなるだろうか?デフォルトのQuick Scanにて試す。
(*クリックで拡大)
このレジストリエントリは、「ファイルやフォルダ」を検索した際に作成されるものである、つまりサーチアシスタント(Search Assistant)機能の履歴(File search history)なのだが。
(これがファイルの名称を記録し保存するとの話は、プライバシー関連の問題として扱われる事例はあるが)
「何故に001のみなんだろうか?000や002は検出対象とはならないのだ?」
更に不審な点として、何故にBrilliant Digital(とある迷惑ソフト業者)関連と表示するのだ?
またC:\WINNT\as_affiliate.iniファイルの中身は「http://vendor.cyberdefender.biz/cart/?affl=CDSITE_000」の一行のみである。
「C:\Program Files\CyberDefender\AntiSpyware」中にCDAScfg.iniなるファイルがあり、AffNum(アフィリエイトナンバーの略か?)など不思議な記述があるのだ。
しかしこれらの値は、特に意味があるものではないようだ。
一例として一部を略すと、{10B02D5B-3F15-4CED-9B4F-(以下12文字の数字とアルファベット)}のようなものだ。どうやら重複したIDが作成されないようなので、GUIDなのだろう。
このGUIDはCyberDefender AntiSpywareをインストールする度に異なる値が設定され、66.223.40.81(nag.cyberdefender.biz)宛に送信される。
(GUID(Globally Unique Identifier):一意な識別子などと和訳され、他に同じIDを割り当てられる対象が存在しないID。)
何らかの形で個人を特定できる形で・または具体的に特定し得なかったとしても本来結びつけるべきではない情報(閲覧したサイトや挙動など)と共に送信されるならば、CyberDefender AntiSpywareはスパイウェアとなるだろう。
しかし今回はそのような挙動は確認できなかったため、CyberDefender AntiSpywareがスパイウェアであるとは断言できなかった。しかしながらこの点はより慎重に追試を行う必要があるだろう。
また「一見ランダムに見えるIDが実はある規則性・法則性を持っており、特定の値へ変換できるのであれば、結局は個人を特定し得る可能性があるのでは」と指摘されたのだが、この点についてはどうもよくわからない。
今後の課題として機会があればじっくりと考えてみたい。
Date Discoveredとあるのだから、このページが新規にシグネチャに登録されたウイルス・スパイウェアのリストであるのは間違いないようなのだが。。。。。
Threat Nameの欄には実行ファイルの名称のようなものが掲載されているのみで、これらの詳細情報は一切掲載されていない。
あまりにも情報不足である。これでは何らかのマルウェアに対し新たに「本当に」対応しているのか否かがさえも判別できないだろう。
(*クリックで拡大)
これらを選んだ理由は、(本当にスパイウェアなのかどうかはともかく)大抵の製品は検出対象とするであろうとの、個人的な見解に基づくものである。
設定は「Select Scan Mode」にてQuick ScanよりFull System Scanに変更してある。
Alexa Toolbar (http://www.alexa.com/)とHotBar (http://www.hotbar.com/)を他のパソコンにてダウンロードし準備、これをインストール。
GainはこれをバンドルするPrecision TimeのAd-Support無料版 (http://www.precision-time.com/)の実行ファイルinstallprecisiontime.exeを予めダウンロードしておき利用したが、現在ではこのソフトウェアは本家よりはダウンロードできないだろう。
7月1日に最初にテストし、7月7日にSignature Databese: 6.07.05.17、Update AS2006 AntiSpyware: 1.06.29.04にアップデート後に追試した。
(*クリックで拡大)
BLOCKを押す、しかしスタートメニューにPrecision Timeのメニューが作成され、これよりPrecision Timeを起動すれば警告が出る。
(*クリックで拡大)
その後手動検索したらば、一応は検出されるのだが。
Claria.Precision Timeの検出名で表示されるprecisiontime.exeはインストール時には警告されず、インストール後になってから検出されるのだが。これは常駐スキャン機能を備えるスパイウェア対策ソフトウェアとしては、あまり意味が無いような気がする。
(Precision Timeがスパイウェアか否かの議論はこの場では意味が無いため論じない)
何かこのCyber Defender AntiSpywareの挙動は、おかしいような気がする。
Gatorは現在は配布中止になっているようなので新規感染者も出ないだろうし、どうでもいいんだが。
(*クリックで拡大)
同様にWeatherOnTray、bnzftzlqもBLOCK。
手動スキャンで幾つかが検出された。
HotBar (1)はC:\Program Files\HbTools\Bin\4.7.5.0\dBenderC.dll、Hotbar virus (2)はC:\Program Files\HbTools\Bin\4.7.5.0\ShopperReports.exeなどらしい。
これらを「Remove Selected Items」より削除
OSの再起動を求められたので、「はい(Y)」を押す。
再起動後に「A new Browser Helper Object program has been added. Do you approve?」と表示はされるのだが、ここでBLOCKを選択しても改善しない。どうやらBHO関連は対応が不十分らしい。
(何故か7月7日にはFileの項目が空白であったため、7月1日にキャプチャした画像を貼り付けるが、CLSIDは同じ)
(*クリックで拡大)
(*クリックで拡大)
(*クリックで拡大)
インストール後にCyberDefemder AntiSpyware 2006でスキャンし検出されたものを削除したものの、症状は改善しない。
HijackThisのログではしっかりと残っている。
どうしょうもない事にブラックウォームまで出てきた、しかしCyberDefender AntiSpywareは何もしてはくれないのだ。
(*クリックで拡大)
Alexa Toolbarインストール後に手動スキャンした結果は、凄まじい数の検出数となったのだが、検出されたものは全て削除した。
今回はOSの再起動は求められなかったのだが、一応再起動。
HijackThisのログには、かなり多くのゴミが残っている。
この状態でInternet Explorerで表示したアンカー(リンク)上にてマウスを右クリックすると、このようになる。
そしてBrilliant Digital関連として表示されるのは単なる製品のミスであり、検出されたものの解説が偶然何かのミスで他のものに入れ替わったのだと。
以前マルウェア対策ソフトウェアの瑕疵について、マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか (Semplice)なるブログエントリを掲載したのだが。
CyberDefender AntiSpyware 2006はインチキソフトではなく単なる「技術的に未熟な製品」に過ぎないのだろうか?
あまりにもおかしな話として、検出対象は001のみであり、000と002は検出対象ではない。つまり「ファイルの検索履歴全てを検出対象とするのではない」点に注目した。
これは通常、有り得ないのではなかろうか。
普通の・極めて「感度が良い」対策ソフトウェアならば、000と002も検出対象とするはずである。だから「単なるクッキーを危険なものとして表示し不安を煽るようなソフトウェア」とは別の次元なのだ。
(注意:検索履歴が何を検索したものであっても、001のみが検出対象となる)
更に・過剰に・無意味に、この製品について好意的見解を示すとして。
こちらは5月より何度も何度もテストしているが、全く同様の結果となっている。
まともな製品ならば通常社内テストは行うだろうし、このような問題が長期に渡って見過ごされるとは考えづらい
アンチスパイウェアソフトやアンチスパイウェアソフトメーカーでは、社内にて検体をテストするに当っては、インストール直後・またはサービスパックやパッチを導入した最新の状態でのマシン(もしくはそのようなバーチャルマシン)にて検証を行うらしい。
またこのような「感染テスト」を行うに当っては、多くの研究者やネット上のブロガーもまた、そのような環境で行うようだ。
かなり偏見に満ちた考えでは、実際に運用しなければ作成されないレジストリエントリを検出対象とするインチキソフトは、このような「感染テスト避け」の効果を期待できる。
上記の「感染テスト」なり「誤検出対策の見逃し」について、じっくりと考えてみる。
製造元であるならば当然ある程度こなした複数の環境でテストを行うだろう。そして当然社内の幾つかのパソコンやまた関係者・知人にも利用させているはずである。だからCyberDefender Corp.がこの「誤検出問題」に気付かなかったとは考えづらい。
大手ソフトウェアメーカーであれば、そのような場当たり的な販売は行わないし、消費者よりのネガティブな反応に対して最後まで踏みとどまり改善し、信頼を得ようとするはずである。
SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト(Semplice)で紹介したように、ほぼ同一の不審ソフトウェアが多数存在する事例も存在する。これらは悪質なマルウェアに感染させたパソコンに無理矢理(もしくは勝手に)インストールする手法で有名になったソフトウェアである。
だがこのCyberDefender社は現在、一応裏家業ではなく表にて堂々と活動している企業である。だからこそ自分としては、彼らが何をしたいのかが理解できない。
そうは言っても当然の事実として、インストールしたユーザーが何らかのフィードバックや購入を行うならば、メールアドレスやその他の情報とこのTrack IDが結び付けられる可能性は否定できない。また何かのイベントにより活動する可能性も否定はできない。
本来ならば個人情報や漏洩が許容されないような情報の送信を確認できれば、スパイウェアであると判別できたのであるが。今回試した限りでは確認できなかったし、どのようにして検証すべきなのかアイディアが浮かばなかった。
さすがに個人レベルではこれ以上の追求は難しいため、大変残念ではあるが、検証作業はやや中途半端な段階で中断した。だから今回はCyberDefender AntiSpywareは(狭義の)スパイウェアの範疇には含めない事とした。
次の日のブログ、CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!!へ続く
Story continued on next page "CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!! with English Summary".
CyberDefender AntiSpyware 2006はCyberDefender Corp.なる企業が販売しているアンチスパイウェアソフトであり、ネット上ではSpyBlocsとの関係を指摘されBogus ware(インチキソフト)扱いされている。m-file氏のコメントによれば、CyberDefender AntiSpywareを導入後、Spybot等がSpyBlocsとして検出したという。
CyberDefender社は怪しい製品を販売しつつも、フィッシング詐欺対策ツールとしてCyberDefender Security Toolbarなる製品を公開しており、これは多くの海外ニュースポータルやまた日本企業が宣伝している。
これらは信頼できる製品なんだろうか?
CyberDefender Corp.はまともな企業なのか?
CyberDefender Corporation社の製品一覧ページ(http://www.cyberdefender.com/internet-security-company/products.htm)には、スパイウェア対策のCyberDefender AntiSpyware 2006、ウイルス対策の CyberDefender AntiVirus 2006 (Beta)、フィッシング詐欺対策の,CyberDefender Security Toolbar、計3ツールが掲載されている。今回はCyberDefender AntiSpywareについて話を進める。
CyberDefender AntiSpywareについての評判は、情報不足
CyberDefender AntiSpywareについてネット上で既存の情報を調べたものの、いずれもSpyware Warriorへのリンクが紹介されているのみであり、他に有用な情報は全く存在しなかった。Spyware Warriorの短い解説を引用し紹介するが、eBlocs社のSpyBlocsという評判の悪いソフトウェアとの関連が掲載されているのみであり、具体的な理由、つまり何故にインチキソフトなのかは掲載されていない。
CyberDefender
product advertised through adware; same company as Spyblocs / eBlocs
Rogue-Suspect Anti-Spyware Products & Web Sites (Spyware Warrior)
Note on CyberDefender: the vendor for CyberDefender is the same as Spyblocs/eBlocs. The vendor claims to have purchased all new technology for CyberDefender, though the interfaces for CyberDefender and Spyblocs 6.0 bear more than a passing resemblance to one another.
Anti-Spyware Family Resemblances (Spyware Warrior)
ちなみにこのCyberDefender AntiSpywareは、日本国内では2006年7月14日よりアルテック株式会社が「CyberDefender AntiSpyware 2006 (アルテック)(http://www.altech-ads.com/product/10002723.htm)」のページにてわざわざ購入代行サービスを行っている。
CyberDefender AntiSpywareとの関連を指摘されているSpyBlocsとは
Spyware Warriorの文中にて取りざたされているeBlocs社のSpyBlocsについては、今より2年前の記事に言及がある。SpyBlocs/eBlocs - Rogue Status Update (Spyware Warrior)にてはアンインストールできないなどの情報が掲載されているものの、関連リンク先が404エラーなので詳細情報がわからず。
mashさんよりeBlocs.com (No Spyware)を紹介していただいたのだが、どうもSpyBlocsそのものによる影響ではなく、他のアドウェアによって引き起こされたような気がする。
Symantec社ではSpyBlocsについてこのように言及している。
SpyBlocs は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。このプログラムは次に、報告された脅威を駆除するためにソフトウェアの登録されたバージョンを購入するようにユーザーに促します。なおSpyblocsのテスト報告 (Semplice)にて以前試用したのだが、存在しない脅威を検出するようなインチキソフトとしての挙動は認められなかった。
SpyBlocs (Symantec)
SpyBlocsとCyberDefenderの関連性
Spyblocsのテスト報告 (Semplice)にてSpyBlocsを入手したhttp://adv1.eblocs.com/spyblocs/adv/generic_001.htmlを開くと、別ドメインのCyberDefender AntiSpyware 2006の購入ページへとリダイレクトされるだろう。リダイレクト先はかなり長いURIだ。
(eBlocsはSpyBlocsのメーカーである)
C:\Program Files\CyberDefender\AntiSpyware\CDAScfg.iniには「InstSpyBl03=1」というSpyBlocsを連想させる文字列がある。
ネットワークキャプチャの結果、spybl.cyberdefender.com.へ「HEAD /wsliveup/advisor/wsliveup.dat.03 HTTP/1.1」のトラフィックが生じた。
自動アップデート時にはdownload.cyberdefender.comより「 /as2006/spyblpat14.dat.03」や「 /as2006/spybl03.exe」などをダウンロードしようとするのを確認した、のだが。何だかよくわからない結果となった。spybl.cyberdefender.com:6083に接続した際に凄まじい数のIPアドレスと5000以降のPort番号の組み合わせが送られ、各種ファイルのダウンロードはこれらのうちいずれかにて行われるようだ。負荷分散か?
ダウンロード後には、cdaspat14.dat.03やcdas03.exeのようにリネームされC:\Program Files\CyberDefender\AntiSpyware\WsLiveUpFiles中に保存されるようだ。OS再起動後にC:\Program Files\CyberDefender\AntiSpyware中のファイルと置換されるだろう。
SpyBlocsはSpyBlocs (Symantec)にて「SpyBlocs は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。」として掲載されている。
この解説中に「C:\Program Files\eBlocs\SpyBlocs\spyblpat14.dat.03」などのファイル名がチラホラと見つかるだろう、これは今回CyberDefender導入後にダウンロードされたファイルである。
CyberDefender AntiSpyware 2006を導入する
最も最初のテストは5月下旬にWindowsXP SP2、その後6月3日・6月19日・7月1日・7月21日にWindows2000 SP4で追試。7月1日にはインストール後にアップデート操作をしOSを再起動、Signature Databese: 6.06.29.21、Update AS2006 AntiSpyware: 1.06.29.04となった後に追試したが、インストール直後の状態でも結果は変わらなかった。
同様に7月21日にSignature Databese: 6.07.19.22、Update AS2006 AntiSpyware: 1.07.20.02となった後に追試したが、結果は変わらなかった。
Windows2000 SP4導入直後のマシンを用意。
CyberDefender Corp.よりダウンロードし導入したインストーラーはこのようなものである。
Install CyberDefender AS-152248.exe
size=3366328byte
MD5=7ab225ba6657c2fb916eb4639f0ea18d
size=3366328byte
MD5=7ab225ba6657c2fb916eb4639f0ea18d
供試したWindows2000 SP4にては、HKCU\Software\Microsoft\Internet Explorer\Explorer Barsには{32683183-48a0-441b-a342-7c2a440a9478}の値があるのみである。
この状態ではCyberDefender AntiSpyware 2006は何も検出しないだろう。
さて、「ファイルやフォルダの検索」を実行する。一回目は「ファイルまたはフォルダの名前」を「1st」として検索、2回目は2nd、3回目は3rdだ。
(*クリックで拡大)
「HKCU\Software\Microsoft\Internet Explorer\Explorer Bars」に{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}の名称のキーが作成される。
CyberDefender AntiSpyware 2006によるスキャンはどうなるだろうか?デフォルトのQuick Scanにて試す。
(*クリックで拡大)
このレジストリエントリは、「ファイルやフォルダ」を検索した際に作成されるものである、つまりサーチアシスタント(Search Assistant)機能の履歴(File search history)なのだが。
(これがファイルの名称を記録し保存するとの話は、プライバシー関連の問題として扱われる事例はあるが)
「何故に001のみなんだろうか?000や002は検出対象とはならないのだ?」
更に不審な点として、何故にBrilliant Digital(とある迷惑ソフト業者)関連と表示するのだ?
- WindowsXP / 2000の検索機能関連レジストリエントリについて -
CyberDefender AntiSpyware 2006の不審点
このスパイウェア対策ソフトウェアは、幾つかの点で大変不審な挙動を示す。幾つか紹介してみよう。怪しいファイルの作成
C:\CybDefInstallInfo.logの意味の無いファイルが作成される。またC:\WINNT\as_affiliate.iniファイルの中身は「http://vendor.cyberdefender.biz/cart/?affl=CDSITE_000」の一行のみである。
「C:\Program Files\CyberDefender\AntiSpyware」中にCDAScfg.iniなるファイルがあり、AffNum(アフィリエイトナンバーの略か?)など不思議な記述があるのだ。
しかしこれらの値は、特に意味があるものではないようだ。
CyberDefender AntiSpyware 2006のGUID送信はスパイウェア(Spyware)活動なのか?
HKEY_LOCAL_MACHINE\SOFTWARE\CybDefKeepSafe というキー中にClientIDという文字列があり、この値に注目した。これはC:\Program Files\CyberDefender\AntiSpyware\{ID}中のIDと同じ値である。一例として一部を略すと、{10B02D5B-3F15-4CED-9B4F-(以下12文字の数字とアルファベット)}のようなものだ。どうやら重複したIDが作成されないようなので、GUIDなのだろう。
このGUIDはCyberDefender AntiSpywareをインストールする度に異なる値が設定され、66.223.40.81(nag.cyberdefender.biz)宛に送信される。
(GUID(Globally Unique Identifier):一意な識別子などと和訳され、他に同じIDを割り当てられる対象が存在しないID。)
何らかの形で個人を特定できる形で・または具体的に特定し得なかったとしても本来結びつけるべきではない情報(閲覧したサイトや挙動など)と共に送信されるならば、CyberDefender AntiSpywareはスパイウェアとなるだろう。
しかし今回はそのような挙動は確認できなかったため、CyberDefender AntiSpywareがスパイウェアであるとは断言できなかった。しかしながらこの点はより慎重に追試を行う必要があるだろう。
また「一見ランダムに見えるIDが実はある規則性・法則性を持っており、特定の値へ変換できるのであれば、結局は個人を特定し得る可能性があるのでは」と指摘されたのだが、この点についてはどうもよくわからない。
今後の課題として機会があればじっくりと考えてみたい。
CyberDefender社のサポートページは不思議なほど情報不足
CyberDefender Corporation Internet Security Virus Threats (http://www.cyberdefender.com/internet-security-threats/virus-alerts.html)を開くと、ファイルの名称の一部のみがThreat Nameとして羅列されており、具体的にどのようなものが検出対象として登録されているのかわかりづいらい。更には個別のファイルに関する技術情報は無いようだ。Date Discoveredとあるのだから、このページが新規にシグネチャに登録されたウイルス・スパイウェアのリストであるのは間違いないようなのだが。。。。。
Threat Nameの欄には実行ファイルの名称のようなものが掲載されているのみで、これらの詳細情報は一切掲載されていない。
あまりにも情報不足である。これでは何らかのマルウェアに対し新たに「本当に」対応しているのか否かがさえも判別できないだろう。
(*クリックで拡大)
CyberDefender AntiSpyware 2006はアドウェア等を検出できるのか?
対策ソフトが検出対象とするであろうものとして、最も著名なものを幾つか供試する。これらを選んだ理由は、(本当にスパイウェアなのかどうかはともかく)大抵の製品は検出対象とするであろうとの、個人的な見解に基づくものである。
設定は「Select Scan Mode」にてQuick ScanよりFull System Scanに変更してある。
Alexa Toolbar (http://www.alexa.com/)とHotBar (http://www.hotbar.com/)を他のパソコンにてダウンロードし準備、これをインストール。
GainはこれをバンドルするPrecision TimeのAd-Support無料版 (http://www.precision-time.com/)の実行ファイルinstallprecisiontime.exeを予めダウンロードしておき利用したが、現在ではこのソフトウェアは本家よりはダウンロードできないだろう。
7月1日に最初にテストし、7月7日にSignature Databese: 6.07.05.17、Update AS2006 AntiSpyware: 1.06.29.04にアップデート後に追試した。
Gatorは何だかわからない
Precision Timeのインストール時に、バンドルされているGAINを検出した。CyberDefender AntiSpywareの「A threat program has been detected in memory. Do you approve?」との警告ポップアップが表示されたのだ。
(*クリックで拡大)
BLOCKを押す、しかしスタートメニューにPrecision Timeのメニューが作成され、これよりPrecision Timeを起動すれば警告が出る。
(*クリックで拡大)
その後手動検索したらば、一応は検出されるのだが。
Claria.Precision Timeの検出名で表示されるprecisiontime.exeはインストール時には警告されず、インストール後になってから検出されるのだが。これは常駐スキャン機能を備えるスパイウェア対策ソフトウェアとしては、あまり意味が無いような気がする。
(Precision Timeがスパイウェアか否かの議論はこの場では意味が無いため論じない)
何かこのCyber Defender AntiSpywareの挙動は、おかしいような気がする。
Gatorは現在は配布中止になっているようなので新規感染者も出ないだろうし、どうでもいいんだが。
HotBarはブロックできない
HotBarはインストール時にNAME: HbToolsとして、「A new startup program has been added. Do you approve?」とのダイアログが表示される。これはアドウェアか何かとして検出したのではなく、自動的に起動しようと登録するあらゆるものに対して自動的に警告するだけのようだ。BLOCKを押すがhttp://www.hotbar.com/NextUrl/Hotbar/Index.htmの「Thank you for installing Hotbar.」は表示される。
(*クリックで拡大)
同様にWeatherOnTray、bnzftzlqもBLOCK。
手動スキャンで幾つかが検出された。
HotBar (1)はC:\Program Files\HbTools\Bin\4.7.5.0\dBenderC.dll、Hotbar virus (2)はC:\Program Files\HbTools\Bin\4.7.5.0\ShopperReports.exeなどらしい。
これらを「Remove Selected Items」より削除
OSの再起動を求められたので、「はい(Y)」を押す。
再起動後に「A new Browser Helper Object program has been added. Do you approve?」と表示はされるのだが、ここでBLOCKを選択しても改善しない。どうやらBHO関連は対応が不十分らしい。
(何故か7月7日にはFileの項目が空白であったため、7月1日にキャプチャした画像を貼り付けるが、CLSIDは同じ)
(*クリックで拡大)
(*クリックで拡大)
(*クリックで拡大)
インストール後にCyberDefemder AntiSpyware 2006でスキャンし検出されたものを削除したものの、症状は改善しない。
HijackThisのログではしっかりと残っている。
どうしょうもない事にブラックウォームまで出てきた、しかしCyberDefender AntiSpywareは何もしてはくれないのだ。
(*クリックで拡大)
Alexa Toolbarには未対応
インストール時にいかなる警告も出なかった、大丈夫か?Alexa Toolbarインストール後に手動スキャンした結果は、凄まじい数の検出数となったのだが、検出されたものは全て削除した。
今回はOSの再起動は求められなかったのだが、一応再起動。
HijackThisのログには、かなり多くのゴミが残っている。
この状態でInternet Explorerで表示したアンカー(リンク)上にてマウスを右クリックすると、このようになる。
Discussion - 結局、CyberDefender AntiSpyware 2006はインチキソフト(Bogus ware or Rogue ware)なのか?
誤検出のみではインチキソフトとは扱いづらい、しかし不審
極めて好意的に解釈してしまえば、単なるファイルの検索履歴(File search history)を検出対象としたのは製品の瑕疵ではなく「瑣末な脅威であってもユーザー保護の観点より見過ごさない」との企業の姿勢によるものと、考えられなくもない。そしてBrilliant Digital関連として表示されるのは単なる製品のミスであり、検出されたものの解説が偶然何かのミスで他のものに入れ替わったのだと。
以前マルウェア対策ソフトウェアの瑕疵について、マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか (Semplice)なるブログエントリを掲載したのだが。
CyberDefender AntiSpyware 2006はインチキソフトではなく単なる「技術的に未熟な製品」に過ぎないのだろうか?
あまりにもおかしな話として、検出対象は001のみであり、000と002は検出対象ではない。つまり「ファイルの検索履歴全てを検出対象とするのではない」点に注目した。
これは通常、有り得ないのではなかろうか。
普通の・極めて「感度が良い」対策ソフトウェアならば、000と002も検出対象とするはずである。だから「単なるクッキーを危険なものとして表示し不安を煽るようなソフトウェア」とは別の次元なのだ。
(注意:検索履歴が何を検索したものであっても、001のみが検出対象となる)
更に・過剰に・無意味に、この製品について好意的見解を示すとして。
こちらは5月より何度も何度もテストしているが、全く同様の結果となっている。
まともな製品ならば通常社内テストは行うだろうし、このような問題が長期に渡って見過ごされるとは考えづらい
アンチスパイウェアソフトやアンチスパイウェアソフトメーカーでは、社内にて検体をテストするに当っては、インストール直後・またはサービスパックやパッチを導入した最新の状態でのマシン(もしくはそのようなバーチャルマシン)にて検証を行うらしい。
またこのような「感染テスト」を行うに当っては、多くの研究者やネット上のブロガーもまた、そのような環境で行うようだ。
かなり偏見に満ちた考えでは、実際に運用しなければ作成されないレジストリエントリを検出対象とするインチキソフトは、このような「感染テスト避け」の効果を期待できる。
上記の「感染テスト」なり「誤検出対策の見逃し」について、じっくりと考えてみる。
製造元であるならば当然ある程度こなした複数の環境でテストを行うだろう。そして当然社内の幾つかのパソコンやまた関係者・知人にも利用させているはずである。だからCyberDefender Corp.がこの「誤検出問題」に気付かなかったとは考えづらい。
SpyBlocsと外観を入れ替えただけなのは何故なのか
普通ならば、あまりにも評判の悪いソフトウェアをそのまま転用し、新たなソフトウェアとするなど考えづらい。大手ソフトウェアメーカーであれば、そのような場当たり的な販売は行わないし、消費者よりのネガティブな反応に対して最後まで踏みとどまり改善し、信頼を得ようとするはずである。
SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト(Semplice)で紹介したように、ほぼ同一の不審ソフトウェアが多数存在する事例も存在する。これらは悪質なマルウェアに感染させたパソコンに無理矢理(もしくは勝手に)インストールする手法で有名になったソフトウェアである。
だがこのCyberDefender社は現在、一応裏家業ではなく表にて堂々と活動している企業である。だからこそ自分としては、彼らが何をしたいのかが理解できない。
謎のID送信は、スパイウェア(Spyware)活動なのか?
送信されるIDはインストールする度にランダムな値が作成されるのだが、復号化されると複数のIDが同じ値になるのか否かが判明しなかった。そうは言っても当然の事実として、インストールしたユーザーが何らかのフィードバックや購入を行うならば、メールアドレスやその他の情報とこのTrack IDが結び付けられる可能性は否定できない。また何かのイベントにより活動する可能性も否定はできない。
本来ならば個人情報や漏洩が許容されないような情報の送信を確認できれば、スパイウェアであると判別できたのであるが。今回試した限りでは確認できなかったし、どのようにして検証すべきなのかアイディアが浮かばなかった。
さすがに個人レベルではこれ以上の追求は難しいため、大変残念ではあるが、検証作業はやや中途半端な段階で中断した。だから今回はCyberDefender AntiSpywareは(狭義の)スパイウェアの範疇には含めない事とした。
次の日のブログ、CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!!へ続く
Story continued on next page "CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!! with English Summary".
