旧バージョンのWinAntiVirus Pro 2006は、日本人を積極的にターゲッティングしたために多くの被害者が生じた。これが国内における事実上の「Bogusware、Rogueware、インチキソフトウェア、または偽セキュリティソフト元年」である。
具体的な手口としては虚偽のスパイウェア警告より悪質サイトへ誘導し、「ブラックウォーム」なるものに感染していると騙す手口により被害が拡大した。他のマルウェアにより導入される事例もあるようだが、自分は十分には把握しきれていない。
WinAntiVirus Pro 2007を導入する
初回のテストは2007年6月に行い、2007年9月8日より追試を行った。
テスト機の概要
テストに用いたのはVirtualPCのゲストOSで、Windows XP HomeEdition SP2日本語版インストール直後の状態である。
「誤検知」の可能性を防ぐ目的で、余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。この状態で「ウイルス、スパイウェア」が検出されるなどまず有りえない環境である。
WinAntivirus Pro 2007をインストールする
今回供試したインストーラーファイルは、以下のものである。
WinAntiVirusPro2007FreeInstall_jp.exe
size=92368byte
CRC16=D5F3
CRC32=35C4BE67
MD5=523ad13c04b60a8bd89a3477efb8ba31
またプロパティのバージョン情報より、ファイルバージョン:1.3.96.1、製品バージョン:5.0.322.0の記載を確認した。
インストール前に、パソコン固有の情報を抜き取られ外部に送信されている
インストーラーファイルをダブルクリックした直後に、このような表示が出る。
既にこの時点で、adfarm.mediaplex.comとulog.jp.winantivirus.comに接続し、不審なIDを送信している。
GET /ad/bk/7412-39614-2054-4?install=1&mpuid=37457196xx HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: adfarm.mediaplex.com
Cache-Control: no-cache
GET /?action=1&type=exe&pc_id=37457196xx&abbr=UWA7PS_0001_N96M0206&err=err0_line0_lerr0_num1_try1_prev0 HTTP/1.1
User-Agent: WinSoftware, NetInstaller
Host: ulog.jp.winantivirus.com
Cache-Control: no-cache
id=37457196xx(後ろ2文字は伏字とした)は、VirtualPCの同一バーチャルマシンであれば、何度インストール操作を試みても同一となる。
思いつきでVirtualPCのゲストドライブにおけるアダプタアドレス(MACアドレス)を一文字だけ変更してみると、勝手に送信されるIDは「15530177xx」に変わった。
アダプタアドレスより(またはその他の情報を併用し)何らかの方法でIDを作成し、送信しているようだ。
(インストールが完了すると作成されるファイル、C:\Program Files\WinAntiVirus Pro 2007\sr.logファイル中には、以下のログが1行記載されており、インストーラーがアダプタアドレス(MACアドレス)より作成したIDが保存される。)
http://ulog.jp.winantivirus.com/?action=23&abbr=UWA7PS_0001_322.1&pc_id=15530177xx&aid=keyin&lid=keyin&affid=keyin&cnt=&lng=
MediaPlexのトラッキングクッキーが設置される
インストーラーファイルをダブルクリックした直後にadfarm.mediaplex.comにユニーク性が高いidを送信し、その結果としてトラッキングクッキーが作成される。
FileMonのログでは、トラッキングクッキーを作成するのはInternet Explorerではなく、WinAntiVirusProのインストーラーファイルである。
(FileMonのIncludeにて「CREATE」とただ登録して監視し発見した)
(*クリックで拡大)
SetされるCookieは「username@mediaplex.com/」だ、Domain属性はadfarm.mediaplex.comではない。
レジストリを漁る、インストーラー
インストール直前の段階で、RegMonのログを眺めて不思議な点に気付いたのだが。
WinAntiVirusProは言語の設定やIEやネットワークの設定程度ならばともかく、必要以上のレジストリを何故か漁っているような気がする。
一例として「HKCU\Software\Opera Software」、もちろんOperaは導入していないためNOT FOUNDとなるのだが、違和感を感じる。
続行をクリックし、インストール直後
インストール中に裏ではadfarm.mediaplex.com、ulog.jp.winantivirus.comとdownload.cdn.winsoftware.com、trial.updates.winsoftware.comへ通信している。
インストール直後に行われるスキャンにては、脅威名:Trojan.Win32.DelAll.q、脅威の種類:Trojanが検出される。
これはWindows OSに元々備わっているC:\WINDOWS\system32.deldrv.exeを検出したものだ、もちろんトロイの木馬などではない。
アップデート
この時点でのバージョン情報は、5.0.322.1である。
シグニチャファイルと推察されるC:\Program Files\WinAntiVirus Pro 2007\AWBase\database\enemies.datなるファイルは11.0 MB (11,559,869 バイト)だ。
アプリケーションアップデート、データベースアップデートを行いOSを再起動したが、プログラムのバージョンもenemies.datも変化が無かった。
WinAntiVirus Pro 2007のスパイウェア、ウイルス検出力
アドウェアを検出できるのか?
Alexa Toolbar(http://www.alexa.com/)とHotBar(http://www.hotbar.com/)、CnsMin(http://www.3721.com/)、Claria Corporation(旧称:Gator Corporation)のGain入りであるPrecision TimeのAd-Support無料版(http://www.precision-time.com/)を準備した。
4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
インストーラーファイルをスキャンさせたが何も検出されなかった。
Alexa Toolbar、HotBar、ClariaのGatorはインストール操作中にリアルタイムスキャンにより検出された。
3721の場合、1ファイルがインストール中に検出され、その後に「ウイルス警報 あなたのセキュリティが突破されました!」なんて物騒なダイアログが出る。
その後にクイックスキャンではなく通常スキャンを実行。
「警告!!16重大な感染検出!!」と表示される。
Gatorではファイルの名前のみで判断しているのではなかった
世間にはファイルの名称のみをチェックしているBogus wareも存在する。中身が空であってもスパイウェアとして検出するようなものだ。WinAntiVirus Pro 2007ではどうだろうか?
GatorのBIC_GatorPT.exe(以前Precision Timeをインストールした際に作成されたファイルを保存しておいたもの)をコピーしようとすると、リアルタイムスキャン?によりAdware.Gator.6200.A382として警告が出た。
BIC_GatorPT.exeをCドライブ直下にコピーして貼り付け。再起動直後のインスタントスキャンまたは通常スキャンにてAdware.Gator.6200.A382として検出された。
C:\Program Files\直下に新規作成したテキストファイルをBIC_GatorPT.exeの名称にリネームした空ファイルを作成し設置しておいたが通常スキャンでもダブルクリックしても検出されなかった。
更には、他のソフトウェアで実行形式ファイル単体で動作するものをBIC_GatorPT.exeにリネームしたが、検出対象とはならなかった。
ウイルスを検出できるのか?
Cドライブ直下に「virus」と名づけたフォルダを作成し、Happy99.exe、notepad.exe(QAZ)、whatever.exe(Aliz)、marburg.scr(marburg)の4ファイルを設置。
かなり古いウイルスを供したのは、主たる目的が「ウイルスの検出能力があるのか否か」を検証する目的であるからだ。
通常スキャンの結果、いずれのファイルもウイルスとして検出できた。
またフォルダごとコンテキストメニューにてスキャンしても、4つとも検出できた。
(*クリックで拡大)
Trojan.Win32.DelAll.qの誤検出の謎
余談となるが、DelAllとはかつてWhiterなどと呼ばれたカテゴリのマルウェアであり、WinMXなどのファイル交換サービスを利用しているユーザーをターゲットとして広まった、ハードディスク中のファイルを上書きして消して復旧不能とするマルウェアを指すと推察される。
元々Windowsに備わっているdeldrv.exeなるファイルを誤検出の対象とした理由は、マルウェアの名称のDel(削除)にかけたものなのだろう。
(表示サイズの都合で空白部を詰めて加工した)
VirtualPCのゲストOSをセーフモードで起動。
Trojan.Win32.DelAll.qとして検出されるC:\WINDOWS\system32\deldrv.exeを予め削除しておく。
ウイルスではないのに誤検出されるシステムファイルを、事前に消して挙動を観察するためだ。
ゲストOSを再起動、今度は通常起動とする。
この状態でWinAntiVirusPro2007FreeInstall_jp.exeをダブルクリックしてインストールし、クイックスキャンが始まった。
「ウイルスが見つかりませんでした!」との表示。少なくともファイルの有無は確認しているらしい。
不思議な事に、deldrv.exeをデスクトップにコピーしてコンテキストメニューより個別にスキャンしても検出されないのに、C:\WINDOWS\system32中のdeldrv.exeを同様にスキャンするとTrojan.Win32.DelAll.qとして検出されるのだ。
(ちなみにいずれの場所であってもダブルクリック時には検出されない)
この結果には多少困惑した。Gatorは場所を問わず検出されたのにと。
Discussion - WinAntiVirus Pro 2007の不審さ
WinAntivirus Pro 2007の配布サイト、winantivirus.comのおかしさ
2007年6月セキュリティホール memoにて掲載されていたURI、http://jp.winantivirus.com/download/2007/よりダウンロードを試みた。
2007年9月7日にダウンロードしたインストーラーファイルも同一であった。
「WinAntiVirusはウィルスの検索ために全体スキャンをおこなっています。」なのだそうだ。
実際にオンラインスキャンをしているように装うこの表示は呆れる。リロードする度に「検出された脅威」が毎回異なる数字になるのは手抜きだ。
(*クリックで拡大)
インストール後のマルウェア検出力と、虚偽のレポート
アドウェア類をテストした結果、元々WindowsOSに備わっているファイルを誤検出したTrojan.Win32.DelAll.qを除く15例に限定すれば、一応はアドウェア類をスキャンし検出できた。
またGatorによるテストの結果、名称のみで判断しているのではなく、またファイルの場所はどこでも関係無いらしい。
既存の偽ソフトウェア類の幾つかはファイルの名称のみで検出し、テキストファイルをリネームしただけの空ファイルであっても検出する事例があるのに比較すれば、まだ良心的だ。
対照的に、Windows OSに備わっているシステムファイルC:\WINDOWS\system32\deldrv.exeに対しては、全く異なる挙動を示す。
「Trojan.Win32.DelAll.q」と虚偽のレポートが表示される点のみが不審なのではない。
Gatorやウイルス類は場所を問わずどのディレクトリ中であっても検出される。これに対してdeldrv.exeはデスクトップや他の場所では何も検出されず、system32フォルダ中でなければ虚偽の検出レポートが表示されないのだ。
ハードウェアの情報を元に作成したIDの無断送信
WinAntiVirusPro 2007はインストール時に、インストーラーがmediaplex.comにidを送信しcookieを作成する。
idは桁数が少ないものの機種固有の値が設定されたユニークなものであると推察され、接続元IPアドレスと共に記録すれば消費者を監視するには十分なものであり、mediaplexのトラッキングクッキーと組み合わせればより悪質なトラッキング行為やユーザーの監視が可能であろう。
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係(LucaBlog)
Cookieそのものはスパイウェアではない、だがハードウェアの情報より取得した値を無断で送信する際に同時にSetするCookieは、スパイウェアとしての活動と判断されてもさほど乖離は無いのでは。
大体、ハードウェアより取得したハッシュ値なんて外部に送信しなければならない理由が存在するのかと
送信されるIDとアダプタアドレスは桁数は異なり、16進法表記ではない。
だがアダプタアドレスは(普通は)同一のマシンは存在しないし。
一部を取り出して加工しユーザー識別の用途に供したとしても、コリジョンの可能性が極めて低いIDであるならば、接続元のIPアドレスまたはアドレスブロックの情報を併用すれば、十分にユーザー及びマシンの識別は容易なのではと。
WinAntiVirusProのインストーラーが表示した「続行」を押さずライセンス契約も承諾していないにも関わらず、勝手にユニーク性が高いIDを外部に真っ先に送信するのは、あまりにも不審である。
注視すべきは、Cookieの送信先であるMediaPlexは、WinFixer系のbogus wareと不思議と密接な関わりがある企業である。WinAntiVirusProシリーズもWinFixer系アプリケーションである。
一例としてMcAfee SiteAdvisor の Web 安全性評価では、ErrorSafeFreeInstall2_de.exe がhttp://img-cdn.mediaplex.com/(以下略)にて配布されていると報告されている。
MediaPlexは一応は、大手の広告代理店ではあるものの、裏の顔があるのだろうか。
ライセンス契約の不思議 - 信頼済みサイト登録はやり過ぎで、異常
EULA(使用許諾説明書)は http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007 より閲覧可能。
WinAntiVirus Pro 2007により、WinSoftware Inc.のサイトがインターネットエクスプローラーの信頼済みサイトとして追加されます。
「WinAntiVirus Pro 2007 - license.html(http://jp.winantivirus.com/download/2007/licpr.php?page=license&prod_name=WinAntiVirus%20Pro%202007)」
自分はこれまで幾つかのいかがわしいソフトウェアを踏んできたが、Internet Explorerの信頼済みサイトゾーンに登録するようなソフトウェアは、マルウェアやJWordを除けば、あまり例を知らない。
(ネット上にはJWordが「サイトを閲覧しただけで再感染した!」との事例が多々報告されているが、信頼済みサイトゾーンに登録されたのが理由と推察される)
WinSoftware Inc.がWindowsの脆弱性を利用するような悪質な罠ページを設置していたらば、Internet Exploreは信頼済みサイトゾーンたる基準が甘い部類にて判断するために、多くの危険なスクリプトが実行されてしまう可能性がある。
今回のテストにては、信頼済みサイトゾーンへの無断登録は確認できなかった。
検索エンジンにて「\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\winantivirus.com」を検索すると、幾つかの質問掲示板などに報告事例があるのだが、どうも他のマルウェアによる可能性が排除できないし、呼び水となるダウンローダー系マルウェアを発見できなかった。
そのためこれ以上の言及を避ける。
(信頼済みサイトゾーンへの登録については、IE-SPYADと制限付きサイト(Semplice, 2005年10月03日)と、JWordが勝手に・無断でインストールされる理由と経路の謎(Semplice, 2006年8月29日)参照のこと)
Conclusion
- WinAntiVirus Pro 2007のインストーラーファイルは実行直後に、許諾も得ずに不審な活動を行う
- 大手広告代理店MediaPlex社にハードウェアより取得したハッシュを送信し、Cookieをセットする。
- インストール直前の時点で、必要以上のレジストリエントリへアクセスする(例としてOpera)。
- 大手広告代理店MediaPlex社にハードウェアより取得したハッシュを送信し、Cookieをセットする。
- WinAntiVirus Pro 2007のマルウェア検出力は、変
- シグニチャファイルが大きすぎる - 何処の情報を元にして作成したのか?
- アドウェア、ウイルスなどを検出可能で、最低レベルの市販製品とある意味で遜色は無い。
- 検出対象ファイルはリネームし場所を変更しても検出される、つまり「ファイルの名称のみをチェックするのではなく、中身をチェックしている」。
- Trojan.Win32.DelAll.qとして誤検出されるWindowsのシステムファイルであるdeldrv.exeは、\system32フォルダ以外の場所に移動しスキャンすると検出されない。
- シグニチャファイルが大きすぎる - 何処の情報を元にして作成したのか?
- EULA(使用許諾説明書)には信頼済みサイトゾーンへの登録を明記しているが、今回は確認できなかった。
- 海外の質問掲示板にては、winantivirus.comが登録されてしまっている事例が多く存在するが、他のマルウェアとの複合感染に起因する可能性を否定しきれない。
- 海外の質問掲示板にては、winantivirus.comが登録されてしまっている事例が多く存在するが、他のマルウェアとの複合感染に起因する可能性を否定しきれない。
関連記事
偽セキュリティソフトによる、動作しているふり、とは?(Lucablog, 2007年10月21日)
スパイウェアとみなす基準と、固有ID送信(LucaBlog, 2007年9月22日)
MediaPlexの謎 - 詐欺ソフトウェアとの密接な関係 (LucaBlog, 2007年9月15日)
彼らは1年ほどで1億5000万ドル以上も稼いだ - 詐欺ソフトウェアの販売(Semplice, 2007年3月11日)
偽ソフトウェアを機能面でなく、社会学的理由で注意喚起を促しても良いのでは(Semplice, 2007年1月16日)
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法(Semplice, 2006年4月15日)
WinFixer 2005による脅迫は自作自演(Semplice, 2006年1月21日)
Bogus wareとRogue ware、インチキソフト(Semplice, 2005年10月18日)
]]>
