2007年02月17日 - MalwareWipedはクローン製品 - 不審ソフトのスキャンが数秒で終わる理由
MalwareWipedはMalwareWipeのクローン製品であり、日本語ページも準備されている。
「知らないうちにインストールされていた!」との報告例もあり、今後注意が必要な製品だ。
多少長いので、お急ぎの方は最後のConclusionを読んでいただきたい。
Bogus ware・偽ソフトウェア・インチキソフト類は、名称や外観を変えただけのクローン製品が存在する事例が多い。
以前MalwareWipeなる不審ソフトウェアを以前紹介した(Malware Wipeを導入させる不審サイト(2006年3月25日)(Semplice))。
昨年12月Rogue Monday! Another one -- Malwarewiped(SunbeltBLOG)にて、限りなく類似のソフトウェア、MalwareWipedなる不審製品が紹介されているのに気付き、大変驚く。
外観を変えただけの不審な製品が、別の名前で異なる製品として配布されているのを過去に何度も目にしたのだが。
ここまで手抜きな事例も珍しい。
MalwareWipeのプライバシーポリシーは http://malwarewipe.com/privacy.php?lang=jp
MalwareWipedのプライバシーポリシーは http://malwarewiped.com/privacy.php?lang=jp
サイトの構成も限りなく同じではないか。
MalwareWipeなる製品そのものは、存在しない脅威を検出し詐欺的に購入を強要したりはせず、セキュリティ対策ソフトウェアとしては最低レベルの機能を備えていた。
だがMalware Wipedを宣伝する手法は悪質だ。
幾つかの不審なサイトにより存在しないウイルスへの感染を警告され、騙されてMalware Wipeを導入した方の相談例が頻発している。
ブラウザハイジャッカーによりホームページを書き換えられ、Internet Explorerを起動するたびに、MalwareWipedの導入を迫る不審サイトが表示されるようになったとの報告もある。
(具体例としてW32.Myzor.FK@yf ウイルスに感染していると脅迫する、不審サイト群(2007年2月13日)(Semplice)など)
テストに用いたのはWindows XP SP2英語版で、PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する(2006年3月21日)(Semplice)にて用いたのと同じものだ。
余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。
この環境でスパイウェアやマルウェアが検出されるのは、ありえないだろう。
FileMonによる監視に際しては、Netscapeをインストールし、またCドライブ中にtoolという名称のフォルダを作成して幾つかの安全なソフトウェアの解凍済みフォルダを保存しておいた。
Virtual PCのゲストドライブであるため、実機でなければ動作しない機能は見逃しの可能性はある。
隔離した環境ではなくネットワークに接続してテストしたが、他所を攻撃するような挙動はないだろうと想定しているためである。
http://malwarewiped.com/よりダウンロードしたMalware Wipedのインストーラーは、ファイルの名称やアイコンがMalwareWipeと同一であった。
mw_setup.exe
size=3014807byte
MD5=4a4ce02706d27ce41163ecaef8573224
インストーラーファイルのプロパティよりバージョン情報タブを開く。
ファイルバージョン: 5.3.0.100
説明: MalwareWipeds Software Installer
著作権: 2007, All rights reserverd (c) MalwareWipeds.
「Completing the MalwaresWipeds 5.3 Setup Wizard」の画面を見て、「MalwareWipedでは?」と首を捻る。
C:\Program Files\MalwaresWipeds にインストールされたファイルは少なく、かなりシンプルである。
折角なので、MalwareWipeとMalwareWiped(ディレクトリ名はMalwaresWipeds)を並べてみよう。
Quick ScanとFull System Scanを実行したが、何も検出されなかった。
MalwareWipedは自作自演で検出対象ファイルを作成したり、存在しないファイルを検出したりはしないようだ。
既存のアドウェア類を全く検出できないのであれば、製品には致命的な問題があったり、単にインチキ製品であるとされるだろう。
ここでは単純に「最低レベルの検出力の有無」を検討する目的でテストし、検出力全般を推察するような定量的評価ではない。
だからどれか1つでも検出できれば、この場での目的は達成されるだろう。
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)。
現在では配布停止されているが、Claria Corporation(旧称:Gator Corporation)のGain入りである、Precision TimeのAd-Support無料版(http://www.precision-time.com/)を準備した。
4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
またeicorを準備。
Full System Scanにより、インストーラーファイルとeicor.comを含むフォルダを指定してスキャンしたが、AlexaInstaller.exe、hbtools.exe、3721setup.exe、installprecisiontime.exeを検出できなかった。
Alexa Toolbarをインストール後にスキャンしたが、MalwareWipedは検出できなかった。
HotbarをFree ad-supported versionにてインストール、ShopperReportsは導入していない。これも検出できなかった。
3721(cns.min)をインストール。MalwareWipedにより一応は検出できたが、MalwareWipedを購入しなければ削除(Remove)も無視リスト追加(Ignore)もできないようだ。
Precision TimeのAd-Support無料版をインストール。Claria Corporation(旧称:Gator Corporation)のGainは導入されなかった。
MalwareWipedはPrecisionTimeを検出できた、のだが。
実行ファイルのPrecisionTime.exeなどは検出しないので、どうも何かがおかしいのだ。
過去にテストした不審なスパイウェア対策ソフトの中には、ファイルの名称のみをチェックしている製品があった。
TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎(2005年12月25日)(Semplice)に掲載したPSGuardなどだ。
新規に作成した空のテキストファイルを、MalwareWipedが検出できたファイル名にリネームして設置し、スキャンしてみよう。
MalwareWipedが検出するならば、ファイルの中身をチェックせずに名称のみで判断していると明らかになるだろう。
C:\Program Files\3721フォルダを作成し、その中にCnsMin関連ファイルと同じ名称の空ファイル - cns01.dat、cns03.dat、Helper.dll - を作成した。
次にC:\Program Files\PrecisionTimeフォルダを作成し、空ファイルのPrecisionTime.ini、PTUninstaller.exeをフォルダ中に作成した。
作成したフォルダと、テキストファイルをリネームしただけの空ファイル
フォルダ:C:\Program Files\3721
空ファイル:C:\Program Files\3721cns01.dat
空ファイル:C:\Program Files\3721cns03.dat
空ファイル:C:\Program Files\Helper.dll
フォルダ:C:\Program Files\PrecisionTime
空ファイル:C:\Program Files\PrecisionTime\PrecisionTime.ini
空ファイル:C:\Program Files\PrecisionTime\PTUninstaller.exe
空ファイルをMalwareWipedにてスキャン。結果は判断に悩むものとなった。
3721関連ファイルと同じ名称の空ファイルは検出できたが、PrecisionTime関連ファイルと同じ名称の空ファイルは検出しないのだ。
PrecisionTimeを実際にインストールした時のスキャン結果では、PrecisionTime.exeを検出しないなど元々おかしかったのだが。
ウイルス対策ソフトやスパイウェア対策ソフトによるスキャンをFileMonにて監視すれば、スキャン対象ファイルにQUERY INFORMATIONとREADが行われているのをログ中に見るだろう。「ファイルの中身を見る」操作みたいなものだ。
(QUERY INFROMATIONだけのものもあるが、話は本筋とずれるのでこの場では置いておく)
Quick Scanを選択しFileMonのログでは、MalwareWipedが活動するために必要と思われる数ファイルへのPathを除けば、既存ファイルの中身をスキャンしている形跡が全く無いのだ。
また対象ドライブ等を指定しない状態でのFull System Scanでも同様だ。
「Select folders you want to scan」にCドライブを設定し、Full System Scanでスキャンしてみよう。
。。。。。それでも既存ファイルに対する詳細なスキャンは、ほとんど行われていないようなのだ。
スキャン中の実在するファイルに対するQuery Informationは(exeファイル69とdllファイル13を含めた)わずか87ファイル、READは73ファイルのみである。
(手作業で集計したため多少の数え間違いがあるかもしれない)
ちなみに気になって導入したサードパーティ製品(Netscapeやその他)の実行ファイルは、FileMonのログには出てこないのだ。
例としてC:\Program Files\Netscape\Netscape BrowserフォルダなどのディレクトリはOPENされている、だがフォルダ中に含まれるファイルは個別にスキャンされないのだ。
Full System Scanと表記するからには、全てのスキャン対象ファイルとなるべき形式のファイルに対して下の画像のようなログがFilemonにて観察されなければならない。だがわずか数十ファイルしか精査されていないためにおかしさを感じるのだ。
MalwareWipedはわずか数十ファイルのみを精査し、後は「ある名称のファイルが存在するか否か」のみをチェックしているのだ。
前述の「空ファイルによる検出テスト」が成功したのも頷ける。
これでは既存のファイルがマルウェアにより置き換えられたり汚染されても、または名称を変えた危険ファイルが存在したとしても、わからないのでは?
MalwareWipedがスキャン中に開いた既存のexeファイルを、MalwareWipedが検出対象としたマルウェアのexeファイルに置き換えてリネームすれば、「ファイルの中身を見ているのか否か」についてより詳しい知見が得られただろう。
今回は準備不足のためにそのようなテストは行わなかった。
Malware Wipeを導入させる不審サイト
W32.Myzor.FK@yf ウイルスに感染していると脅迫する、不審サイト群
Bogus wareとRogue ware、インチキソフト
偽ソフトウェア (はてな)
MalwareWiperdはMalwareWipeのクローン製品で、名称を変更しただけの同一製品である。それぞれに日本語ページが準備されており、今後被害例が拡大する可能性がある。
MalwareWiperdはインストールフォルダがMalwaresWipes、実行ファイルがMalwareWipes.exeなど、インストール後に表記ゆれがあった。
存在しない脅威を自作自演で作成したりはせず、完全にクリーンな状態でのWindowsでは何も検出されなかったため、インチキとは言いづらい。
2つのアドウェア類を検出できたが、肝心の実行ファイルを取り逃がすなど挙動はおかしい。
新規テキストファイルを作成し、MalwareWipedが検出したファイルと同じ名称にリネームしてスキャンさせた結果、3721関連ファイルと同名の空ファイルは検出できたが、PrecisionTime関連ファイルと同名の空ファイルは検出できなかった。
ファイルの中身をチェックせずに、名称のみで検出対象としているようだ。
Full System ScanでCドライブを指定しても限られた一部のファイルのみを精査対象としており、多くのexeファイルやdllファイルが実際にはスキャンされなかった。
スキャンに要する時間が極端に短い(数秒!)理由は、ファイルスキャンが不十分だからだ。
なお今回は、既存のexeファイルを、リネームしたマルウェアのexeファイルに置換した上でのスキャンテストは行っていない。
「知らないうちにインストールされていた!」との報告例もあり、今後注意が必要な製品だ。
多少長いので、お急ぎの方は最後のConclusionを読んでいただきたい。
Malware Wipedは手抜き
Bogus ware・偽ソフトウェア・インチキソフト類は、名称や外観を変えただけのクローン製品が存在する事例が多い。
以前MalwareWipeなる不審ソフトウェアを以前紹介した(Malware Wipeを導入させる不審サイト(2006年3月25日)(Semplice))。
昨年12月Rogue Monday! Another one -- Malwarewiped(SunbeltBLOG)にて、限りなく類似のソフトウェア、MalwareWipedなる不審製品が紹介されているのに気付き、大変驚く。
外観を変えただけの不審な製品が、別の名前で異なる製品として配布されているのを過去に何度も目にしたのだが。
ここまで手抜きな事例も珍しい。
MalwareWipeのプライバシーポリシーは http://malwarewipe.com/privacy.php?lang=jp
MalwareWipedのプライバシーポリシーは http://malwarewiped.com/privacy.php?lang=jp
サイトの構成も限りなく同じではないか。
Malware WipeとMalware Wipedの感染源
MalwareWipeなる製品そのものは、存在しない脅威を検出し詐欺的に購入を強要したりはせず、セキュリティ対策ソフトウェアとしては最低レベルの機能を備えていた。
だがMalware Wipedを宣伝する手法は悪質だ。
幾つかの不審なサイトにより存在しないウイルスへの感染を警告され、騙されてMalware Wipeを導入した方の相談例が頻発している。
ブラウザハイジャッカーによりホームページを書き換えられ、Internet Explorerを起動するたびに、MalwareWipedの導入を迫る不審サイトが表示されるようになったとの報告もある。
(具体例としてW32.Myzor.FK@yf ウイルスに感染していると脅迫する、不審サイト群(2007年2月13日)(Semplice)など)
MalwareWipedをテストする
テスト機の概要
テストに用いたのはWindows XP SP2英語版で、PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する(2006年3月21日)(Semplice)にて用いたのと同じものだ。
余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。
この環境でスパイウェアやマルウェアが検出されるのは、ありえないだろう。
FileMonによる監視に際しては、Netscapeをインストールし、またCドライブ中にtoolという名称のフォルダを作成して幾つかの安全なソフトウェアの解凍済みフォルダを保存しておいた。
Virtual PCのゲストドライブであるため、実機でなければ動作しない機能は見逃しの可能性はある。
隔離した環境ではなくネットワークに接続してテストしたが、他所を攻撃するような挙動はないだろうと想定しているためである。
MalwareWipedの導入
http://malwarewiped.com/よりダウンロードしたMalware Wipedのインストーラーは、ファイルの名称やアイコンがMalwareWipeと同一であった。
mw_setup.exe
size=3014807byte
MD5=4a4ce02706d27ce41163ecaef8573224
インストーラーファイルのプロパティよりバージョン情報タブを開く。
ファイルバージョン: 5.3.0.100
説明: MalwareWipeds Software Installer
著作権: 2007, All rights reserverd (c) MalwareWipeds.
「Completing the MalwaresWipeds 5.3 Setup Wizard」の画面を見て、「MalwareWipedでは?」と首を捻る。
C:\Program Files\MalwaresWipeds にインストールされたファイルは少なく、かなりシンプルである。
折角なので、MalwareWipeとMalwareWiped(ディレクトリ名はMalwaresWipeds)を並べてみよう。
MalwareWipedは存在しない脅威を検出するのか
Quick ScanとFull System Scanを実行したが、何も検出されなかった。
MalwareWipedは自作自演で検出対象ファイルを作成したり、存在しないファイルを検出したりはしないようだ。
MalwareWipedはアドウェアを検出できるのか?
既存のアドウェア類を全く検出できないのであれば、製品には致命的な問題があったり、単にインチキ製品であるとされるだろう。
ここでは単純に「最低レベルの検出力の有無」を検討する目的でテストし、検出力全般を推察するような定量的評価ではない。
だからどれか1つでも検出できれば、この場での目的は達成されるだろう。
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)。
現在では配布停止されているが、Claria Corporation(旧称:Gator Corporation)のGain入りである、Precision TimeのAd-Support無料版(http://www.precision-time.com/)を準備した。
4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
またeicorを準備。
Full System Scanにより、インストーラーファイルとeicor.comを含むフォルダを指定してスキャンしたが、AlexaInstaller.exe、hbtools.exe、3721setup.exe、installprecisiontime.exeを検出できなかった。
アドウェア類をインストールしてスキャンする
Alexa Toolbarをインストール後にスキャンしたが、MalwareWipedは検出できなかった。
HotbarをFree ad-supported versionにてインストール、ShopperReportsは導入していない。これも検出できなかった。
3721(cns.min)をインストール。MalwareWipedにより一応は検出できたが、MalwareWipedを購入しなければ削除(Remove)も無視リスト追加(Ignore)もできないようだ。
Precision TimeのAd-Support無料版をインストール。Claria Corporation(旧称:Gator Corporation)のGainは導入されなかった。
MalwareWipedはPrecisionTimeを検出できた、のだが。
実行ファイルのPrecisionTime.exeなどは検出しないので、どうも何かがおかしいのだ。
新規テキストをリネームした、空ファイルによる検出テスト
過去にテストした不審なスパイウェア対策ソフトの中には、ファイルの名称のみをチェックしている製品があった。
TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎(2005年12月25日)(Semplice)に掲載したPSGuardなどだ。
新規に作成した空のテキストファイルを、MalwareWipedが検出できたファイル名にリネームして設置し、スキャンしてみよう。
MalwareWipedが検出するならば、ファイルの中身をチェックせずに名称のみで判断していると明らかになるだろう。
C:\Program Files\3721フォルダを作成し、その中にCnsMin関連ファイルと同じ名称の空ファイル - cns01.dat、cns03.dat、Helper.dll - を作成した。
次にC:\Program Files\PrecisionTimeフォルダを作成し、空ファイルのPrecisionTime.ini、PTUninstaller.exeをフォルダ中に作成した。
作成したフォルダと、テキストファイルをリネームしただけの空ファイル
フォルダ:C:\Program Files\3721
空ファイル:C:\Program Files\3721cns01.dat
空ファイル:C:\Program Files\3721cns03.dat
空ファイル:C:\Program Files\Helper.dll
フォルダ:C:\Program Files\PrecisionTime
空ファイル:C:\Program Files\PrecisionTime\PrecisionTime.ini
空ファイル:C:\Program Files\PrecisionTime\PTUninstaller.exe
空ファイルをMalwareWipedにてスキャン。結果は判断に悩むものとなった。
3721関連ファイルと同じ名称の空ファイルは検出できたが、PrecisionTime関連ファイルと同じ名称の空ファイルは検出しないのだ。
PrecisionTimeを実際にインストールした時のスキャン結果では、PrecisionTime.exeを検出しないなど元々おかしかったのだが。
FileMonによる監視結果 - MalwareWipedのスキャンが数秒で終了する本当の理由
ウイルス対策ソフトやスパイウェア対策ソフトによるスキャンをFileMonにて監視すれば、スキャン対象ファイルにQUERY INFORMATIONとREADが行われているのをログ中に見るだろう。「ファイルの中身を見る」操作みたいなものだ。
(QUERY INFROMATIONだけのものもあるが、話は本筋とずれるのでこの場では置いておく)
Quick Scanを選択しFileMonのログでは、MalwareWipedが活動するために必要と思われる数ファイルへのPathを除けば、既存ファイルの中身をスキャンしている形跡が全く無いのだ。
また対象ドライブ等を指定しない状態でのFull System Scanでも同様だ。
「Select folders you want to scan」にCドライブを設定し、Full System Scanでスキャンしてみよう。
。。。。。それでも既存ファイルに対する詳細なスキャンは、ほとんど行われていないようなのだ。
スキャン中の実在するファイルに対するQuery Informationは(exeファイル69とdllファイル13を含めた)わずか87ファイル、READは73ファイルのみである。
(手作業で集計したため多少の数え間違いがあるかもしれない)
ちなみに気になって導入したサードパーティ製品(Netscapeやその他)の実行ファイルは、FileMonのログには出てこないのだ。
例としてC:\Program Files\Netscape\Netscape BrowserフォルダなどのディレクトリはOPENされている、だがフォルダ中に含まれるファイルは個別にスキャンされないのだ。
Full System Scanと表記するからには、全てのスキャン対象ファイルとなるべき形式のファイルに対して下の画像のようなログがFilemonにて観察されなければならない。だがわずか数十ファイルしか精査されていないためにおかしさを感じるのだ。
MalwareWipedはわずか数十ファイルのみを精査し、後は「ある名称のファイルが存在するか否か」のみをチェックしているのだ。
前述の「空ファイルによる検出テスト」が成功したのも頷ける。
これでは既存のファイルがマルウェアにより置き換えられたり汚染されても、または名称を変えた危険ファイルが存在したとしても、わからないのでは?
ファイルの置換テスト(2007年2月18日追記)
MalwareWipedがスキャン中に開いた既存のexeファイルを、MalwareWipedが検出対象としたマルウェアのexeファイルに置き換えてリネームすれば、「ファイルの中身を見ているのか否か」についてより詳しい知見が得られただろう。
今回は準備不足のためにそのようなテストは行わなかった。
関連記事
Malware Wipeを導入させる不審サイト
W32.Myzor.FK@yf ウイルスに感染していると脅迫する、不審サイト群
Bogus wareとRogue ware、インチキソフト
偽ソフトウェア (はてな)
Conclusion
MalwareWiperdはMalwareWipeのクローン製品で、名称を変更しただけの同一製品である。それぞれに日本語ページが準備されており、今後被害例が拡大する可能性がある。
MalwareWiperdはインストールフォルダがMalwaresWipes、実行ファイルがMalwareWipes.exeなど、インストール後に表記ゆれがあった。
存在しない脅威を自作自演で作成したりはせず、完全にクリーンな状態でのWindowsでは何も検出されなかったため、インチキとは言いづらい。
2つのアドウェア類を検出できたが、肝心の実行ファイルを取り逃がすなど挙動はおかしい。
新規テキストファイルを作成し、MalwareWipedが検出したファイルと同じ名称にリネームしてスキャンさせた結果、3721関連ファイルと同名の空ファイルは検出できたが、PrecisionTime関連ファイルと同名の空ファイルは検出できなかった。
ファイルの中身をチェックせずに、名称のみで検出対象としているようだ。
Full System ScanでCドライブを指定しても限られた一部のファイルのみを精査対象としており、多くのexeファイルやdllファイルが実際にはスキャンされなかった。
スキャンに要する時間が極端に短い(数秒!)理由は、ファイルスキャンが不十分だからだ。
なお今回は、既存のexeファイルを、リネームしたマルウェアのexeファイルに置換した上でのスキャンテストは行っていない。
