2007年10月04日 - 偽ソフトウェアによるクローン製品(Clone app.)生成
限りなく同一のインチキソフトウェアが、全く別の名称で配布されているケースが世の中には多々見受けられる。
ある場合には、以前のバージョンより名称やインターフェイスを変更し。
ある場合には、ほぼ同一の見た目・ファイル構成のソフトウェアを同時期にリリースする。
Symantecが9月に発表したAttack of the clones?の和訳記事が紹介されている。
クローンの攻撃(ITPro)はかなり面白く、所謂インチキソフトとかBogus wareやRogue ware好きならば要チェックだ。
AVSystemCareとGoldenAntiSpyなるクローン製品をどうやって生成するのか、興味深い解説が述べられている。
要約してしまうと、
1)詐欺的ソフトウェアを配布するサイトへ誘導(配布サイトは複数のドメインで運営される)
2)CookieをSetさせる
3)インストーラーファイルは、Cookieよりどの導入元サイトよりなのかを判別し、ドメイン名を元にソフトウェアの名称を随時変更する
エレガントな手口ですね、驚きました。
これであれば、同一のインストーラーファイルとアプリケーションを構成する同一のファイルにて、多くの名称のアプリケーションをリリースして対策を難しくする。
名称が違うと被害者は情報収集も困難になるものだ。
(もちろん、「ファイルの中身」までをチェックするような対策側製品であれば、名称が異なったとしても容易に検出できそうではありますが)
記事中にては、クッキーを任意のものに編集して、その後導入されるソフトウェアの名称を変更する方法が紹介されている - HelloWorld!ですよ、あまりにも微笑ましい。
ある場合には、以前のバージョンより名称やインターフェイスを変更し。
ある場合には、ほぼ同一の見た目・ファイル構成のソフトウェアを同時期にリリースする。
Symantecが9月に発表したAttack of the clones?の和訳記事が紹介されている。
クローンの攻撃(ITPro)はかなり面白く、所謂インチキソフトとかBogus wareやRogue ware好きならば要チェックだ。
AVSystemCareとGoldenAntiSpyなるクローン製品をどうやって生成するのか、興味深い解説が述べられている。
要約してしまうと、
1)詐欺的ソフトウェアを配布するサイトへ誘導(配布サイトは複数のドメインで運営される)
2)CookieをSetさせる
3)インストーラーファイルは、Cookieよりどの導入元サイトよりなのかを判別し、ドメイン名を元にソフトウェアの名称を随時変更する
エレガントな手口ですね、驚きました。
これであれば、同一のインストーラーファイルとアプリケーションを構成する同一のファイルにて、多くの名称のアプリケーションをリリースして対策を難しくする。
名称が違うと被害者は情報収集も困難になるものだ。
(もちろん、「ファイルの中身」までをチェックするような対策側製品であれば、名称が異なったとしても容易に検出できそうではありますが)
記事中にては、クッキーを任意のものに編集して、その後導入されるソフトウェアの名称を変更する方法が紹介されている - HelloWorld!ですよ、あまりにも微笑ましい。
この記事へのトラックバックURL
http://app.blog.livedoor.jp/lucanian/tb.cgi/51007725
この記事へのコメント
面白い記事ですね(笑
早速試してこよ
早速試してこよ
Posted by 名無し
at 2007年10月05日 13:44
いずれにしても、インストール時に不審な動きをするのは間違いないですよね?
Posted by ベルモンツ
at 2007年10月06日 19:21
いつも参考にさせていただいております。
感謝、感謝でございます。
感謝、感謝でございます。
Posted by りりあん
at 2007年10月07日 19:58
インストール時もそうですが、このソフトウェアがそもそも不審な詐欺的ソフトウェアであります。
あまり情報は無いみたいですが。
あまり情報は無いみたいですが。
Posted by Luca
at 2007年10月08日 18:09
多少問題はあるけど、「セキュリティソフトは箱で買え」または「信頼できるサイトで買え」で解決しますね。
逆に言うと、セキュリティソフトのアフィリエイトサイトなんかが泣きを見ることになるんだけど、まああきらめが肝心w
ブログのスパムにも似たような例がありますね。
記事内容が全部同じで、サイト名が違うだけでなく、「見た目(デザインテンプレート)」も違います。
デザインは各「無料ブログ」固有ので済ませているだけなのでしょうが、見た目違うという意味ではやはり違います。
上記ニュースは「デザインも同じ」ということで記事にしてありますが、今後は「デザインも別、エンジンだけ同じ」という形に行くかもしれませんね。
ところで、Symantecの分類だと Misleading application(s) という名前になるんですね。
http://www.symantec.com/norton/theme.jsp?themeid=mislead
逆に言うと、セキュリティソフトのアフィリエイトサイトなんかが泣きを見ることになるんだけど、まああきらめが肝心w
ブログのスパムにも似たような例がありますね。
記事内容が全部同じで、サイト名が違うだけでなく、「見た目(デザインテンプレート)」も違います。
デザインは各「無料ブログ」固有ので済ませているだけなのでしょうが、見た目違うという意味ではやはり違います。
上記ニュースは「デザインも同じ」ということで記事にしてありますが、今後は「デザインも別、エンジンだけ同じ」という形に行くかもしれませんね。
ところで、Symantecの分類だと Misleading application(s) という名前になるんですね。
http://www.symantec.com/norton/theme.jsp?themeid=mislead
Posted by itochan
at 2007年10月09日 17:30
>Symantecの分類だと Misleading application(s) という名前になるんですね
もうややこしいから統一しろやって言いたくなる。
もうややこしいから統一しろやって言いたくなる。
Posted by 名無し
at 2007年10月09日 18:13
itochanさんのコメントに付記させていただきますと。
この手のソフトウェアはパッケージが存在するよう見せかける傾向がある点も見逃せません。
また信頼できるサイトであるよう見せかける虚偽のアンチウイルスソフトランキングサイトや、受賞の報告。
(See http://blog.lucanian.net/archives/50840982.html)
>Misleading application(s)
海外ではBogus, Rogue, FakeにSoftware, Application, Wareなどが組み合わさり。
日本では偽ソフトウェア、偽装スパイウェア対策ソフトウェア、偽装セキュリティ ツールなどでしょうか。
慣用的な「インチキソフト」が最も簡便でわかりやすいんですが。
この手のソフトウェアはパッケージが存在するよう見せかける傾向がある点も見逃せません。
また信頼できるサイトであるよう見せかける虚偽のアンチウイルスソフトランキングサイトや、受賞の報告。
(See http://blog.lucanian.net/archives/50840982.html)
>Misleading application(s)
海外ではBogus, Rogue, FakeにSoftware, Application, Wareなどが組み合わさり。
日本では偽ソフトウェア、偽装スパイウェア対策ソフトウェア、偽装セキュリティ ツールなどでしょうか。
慣用的な「インチキソフト」が最も簡便でわかりやすいんですが。
Posted by Luca
at 2007年10月09日 18:51
実際商品はとどくんでしょうかね。
ちょっと買ってみたいと思ったり
ちょっと買ってみたいと思ったり
Posted by 名無し
at 2007年10月10日 00:14
Bogus ware類は、
1)体験版をユーザーによる手動ダウンロード・導入、もしくは他のマルウェアにより強制的にインストール
2)虚偽の検知を表示し、処理するためには有料バージョンが必要と警告
3)有料版とするための、代金の支払いを求める
大体は、以上のようなプロセスとなっております。
1)体験版をユーザーによる手動ダウンロード・導入、もしくは他のマルウェアにより強制的にインストール
2)虚偽の検知を表示し、処理するためには有料バージョンが必要と警告
3)有料版とするための、代金の支払いを求める
大体は、以上のようなプロセスとなっております。
Posted by Luca
at 2007年10月10日 07:16
その更に手前の段階で、
普通のバナー広告や(いや、実際普通じゃないですね)、
アフィリエイト(購入当たり、またはインストール当たりの報酬)で広めるという手法を使うことが多いという認識があります。
0) ウェブを見ている時にいきなり「あなたはウイルスに感染しています」というポップアップが出る
というのもありましたね。
普通のバナー広告や(いや、実際普通じゃないですね)、
アフィリエイト(購入当たり、またはインストール当たりの報酬)で広めるという手法を使うことが多いという認識があります。
0) ウェブを見ている時にいきなり「あなたはウイルスに感染しています」というポップアップが出る
というのもありましたね。
Posted by itochan
at 2007年10月12日 03:49
それはそうなんですが、一点見逃せない問題があります。
>「あなたはウイルスに感染しています」という
>ポップアップが出る
多くの投稿や報告にては、何にも感染していない段階で表示されるWebサイトのスクリプトによるポップアップ表示と、アドウェア類に感染した後に表示されるポップアップが混同されている事例が多々見受けられます。
>「あなたはウイルスに感染しています」という
>ポップアップが出る
多くの投稿や報告にては、何にも感染していない段階で表示されるWebサイトのスクリプトによるポップアップ表示と、アドウェア類に感染した後に表示されるポップアップが混同されている事例が多々見受けられます。
Posted by Luca
at 2007年10月12日 19:36
区別ができる人は騙されませんし、
騙された人の報告だったら、混同していてもしょうがないです。
教育コンテンツのような場合も、一連の流れの中で、感染しないための防御、感染後の対処のどちらも、最初のウェブでのポップアップは紹介するべき結構重要な要素だと思います。
>何にも感染していない段階で表示されるWebサイトのスクリプトによるポップアップ表示と、
「何にも感染していない段階で表示される、Webサイトが提携している広告会社指定の広告スクリプトによるポップアップ表示」とか、そんな感じで、
正確さよりもわかりやすさを求めて書いている場合もあるのではと感じました。(例にしたつもりだけど例が適切か自信なし)
騙された人の報告だったら、混同していてもしょうがないです。
教育コンテンツのような場合も、一連の流れの中で、感染しないための防御、感染後の対処のどちらも、最初のウェブでのポップアップは紹介するべき結構重要な要素だと思います。
>何にも感染していない段階で表示されるWebサイトのスクリプトによるポップアップ表示と、
「何にも感染していない段階で表示される、Webサイトが提携している広告会社指定の広告スクリプトによるポップアップ表示」とか、そんな感じで、
正確さよりもわかりやすさを求めて書いている場合もあるのではと感じました。(例にしたつもりだけど例が適切か自信なし)
Posted by itochan
at 2007年10月13日 02:22
>騙された人の報告だったら、混同していてもしょうがないです。(以下略)
騙された人の報告に留まりませんよ。
(あまり表で特定メーカーや著名サイトを揶揄するのは避けたいので、ニュースポータルの記事などを漁って下さい。)
騙された人の報告に留まりませんよ。
(あまり表で特定メーカーや著名サイトを揶揄するのは避けたいので、ニュースポータルの記事などを漁って下さい。)
Posted by Luca
at 2007年10月13日 23:47
