<   2016年 04月 ( 3 )   > この月の画像一覧

大げさにエラー表示して有料版の購入を迫るSpeedUpMyPC 2016

SpeedUpMyPCが2016になっていたので、その挙動を確かめた。併せて駆除の方法もまとめた。

セキュリティ関連サイトでの記載
SpeedUpMyPCの以前のバージョンはシマンテックの公式サイトに「SpeedUpMyPc は、コンピュータの動作を遅くするという問題について誤解を招く情報を表示する、不要と思われるアプリケーションです。問題を解決するために代金を支払うようユーザーに要求する可能性があります。」と記載されている。
(引用者からの補足:実際に要求される。)
SpeedUpMyPC 2016も同じくPUP(シマンテックの用語でいうとPUA)であると考えられる。

SpeedUpMyPC 2016の挙動
  • 「PCにエラーがみつかりました」等のブラウザのメッセージと混同しそうな広告で、ダウンロードを促す。
  • ダウンロードしたファイルを実行すると、「SpeedUpMyPC 2016で無料スキャンを開始」というタイトルの画面が出てきて「同意してスキャンする」をクリックすると、SpeedUpMyPC 2016のインストールが開始される。
    c0240934_20153962.jpg

  • インストールが完了すると「スキャン」が開始され大げさな警告がポップアップする。
    c0240934_2015524.jpg

  • 例として優先度が高とされているジャンクファイルの結果を見てみる。
  • ごみ箱が空にされていない、Windows一時ファイルがある、インターネット一時ファイルがあるなど、このSpeedUpMyPC 2016を使わなくても簡単に解決できるものばかりである。わかる人にはわかるが、これらのファイルを削除したとしても「スピードアップ」は望めない。
    c0240934_2016673.jpg

  • 緑色の「削除」や「修復」ボタンを押すと、WEBブラウザが開き有料版の購入を促される。
    c0240934_20162133.jpg

  • SpeedUpMyPC 2016を閉じようとして右上のxボタンをクリックしてもこのプログラムは終了できない。
  • さらに下のような画面が出てきて右上の「閉じる」をクリックしても終了できない。
    c0240934_20164029.jpg


    終了するには「今すぐ購入」という緑色のボタンの下の「終了」をクリックする。
  • SpeedUpMyPC 2016は自身をスタートアップに登録し、Windows起動のたびに「スキャン」→「エラーの表示」→「有料版の購入督促」を繰り返す。
    c0240934_20165445.jpg

  • しばらく放っておくと、Windows画面右下からポップアップを出して、エラーの表示と有料版の購入督促を行う。
    c0240934_2017267.jpg



セキュリティソフトでの判定
有名どころのセキュリティソフト4種類のうち半数が、迷惑ソフトとしてSpeedUpMyPC 2016を検出した。
SpeedUpMyPC 2016の駆除

コントロールパネルからのアンインストールという方法もあるが、事前にタスクマネージャーでSpeedUpMyPC 2016関連のプログラムを終了させる必要があるため、ノートンパワーイレーサーを使ったほうが簡単である。
  1. ノートンパワーイレーサー(ファイル名はNPE.exe)をダウンロード、実行する。
  2. 内容に同意し、ノートンパワーイレーサーが起動したら「迷惑アプリのスキャン」を実施
    c0240934_2018311.jpg

  3. SpeedUpMyPCが見つかるので、アンインストールをクリックして終了。
  4. アンインストールが完了すると値引きされた値段でソフトを買うように誘うページが開くが無視してよい。
    c0240934_2023873.jpg


[PR]
by 1229n | 2016-04-09 20:18 | マルウエア・クッキー等 | Comments(0)

今さらだが3月19日にウイルスメールを受信した。

yahoo メールをチェックしたところ、「自分から自分宛てのメール」が届いていた
掲題がDocument2で添付ファイルがDocument2.zip。
何かUSBメモリなど経由でファイルを移動させるのが面倒な時に、やりそうだ。
心当たりは無いが。
c0240934_7155115.jpg


「Received-SPF: softfail (186-211-181-90.commcorp.net.br: domain of transitioning *******@yahoo.co.jp does not designate 186.211.181.90 as permitted sender)」とヘッダにあったので、送り元を詐称したメールがブラジルのどこかのサーバー経由で送りつけてきたのであろう。
(186.211.181.90の持ち主を調べたら、COMMCORP COMUNICACOES LTDAというブラジルの組織であった。)

Avastを導入済のPCに転送したところウイルス(JS-Agent-DTI[Tr])と判定された。
c0240934_716193.jpg



恐らく拡張子を偽造した実行ファイルか、圧縮ファイルがウィルスを含んでいるものと思われる。

検索してもこのウイルスが何者であるかは分からなかったが、とりあえずは例え実行形式でないファイルでも身に覚えがなければ、解凍・閲覧・実行しないのが鉄則。

(本当はセキュリティ対策済みのコンピュータででも、こういう行為は危険らしいけどね^^;)

2016/04/07追記
自分のメルアドにモザイクしてなかった。まっいっか、このままで。
[PR]
by 1229n | 2016-04-07 07:19 | マルウエア・クッキー等 | Comments(0)

Malwarebyte Anti-malwareがWinZip Registry OptimizerをPUPとして検出。駆除も可能。

最初にまとめ
  • WinZip Registry Optimizerは3種類のうち1つのセキュリティソフトでPUPとして検出された。
  • 侵入経路は主にWEBサイトの広告から
  • このソフトの挙動は、勝手にレジストリスキャンを行いPCが危機にあるような不安を煽る。
    またスタートアップに登録され、有料版の購入を促す。
  • 削除は手動のほかに無料のセキュリティソフトで行える。






侵入経路
侵入経路は、主にWEBページに出てくる広告からである。
c0240934_18232398.jpg

この画面の例では「PCのエラーを修正しました」という文字広告が出てくる。
これをブラウザからのメッセージと思いクリックすると、「Windowsエラーの修復の仕方」と題されたページに飛ばされ「Windows修復ツール」のダウンロードを促される。このツールは無料と錯覚されやすい。
c0240934_18241476.jpg



WinZip Registry Optimizerの挙動
  1. インストールが終わると、自動的にスキャンが行われ、「インパクト」が「高」として「問題の修正」を促す。
    c0240934_1824425.jpg

  2. 「レジストリの問題を放置しておくとシステムのパフォーマンスと安全性に悪影響を及ぼし、PCのクラッシュやシステムエラーの原因となったり…」と警告メッセージを出し、有料版の購入を促す。
    c0240934_18252192.jpg

  3. Windows画面右下からポップアップが出て有料版の購入を促す。
    c0240934_18254094.jpg

  4. 自身をスタートアップに登録し、PCの電源を入れるたびに「スキャン」→「有料版の購入督促」の動作を行う。
    c0240934_1826616.jpg


ちなみに価格は年間4423円であった。
Nortonでは「エラーの警告をしてソフト購入を誘導する詐欺に遭遇する可能性が高いといえます。」言い切っている。


無料セキュリティソフトでの検出と駆除
WinZip Registry Optimizerに対するスキャン結果は、


であった。
セキュリティソフトによりバラつきがあるが、上の3つのうち1つでもPUP扱いしており、さらにノートンブログのコメント(怪しげなサイトよりこちらのほうが信用できる)でも詐欺の可能性が高いとしているので、削除したほうがいいというのがブログ主の意見である。
(他の記事との重複になるがマイクロソフトの公式サイトやノートンの公式サイトでもレジストリクリーナー自体が今のWindowsには不要という見解がある。)


(botcrawl によるとCCleanerによるレジストリの削除も記載されているが、上記のことからそれは必要ないと「思う」。)
CCleaner自体には勝手なスキャンや有料版の押し売りが無いので、詐欺という印象はなかった。

駆除は、コントロールパネルからのアンインストールがあるが、WinZip Registry Optimizerのタスクマネージャーから強制終了などの手順が必要なため、Malwarebyte Anti-malwareを使ったほうがシンプル。


1.まずは自動的に起動しているWinZip Registry Optimizerを終了させる右上のxボタンを押せばよい。
このときにまた脅し画面が出るが、それもx印を押してプログラムを完全に終了させる。
c0240934_18301674.jpg



2.Malwarebyte Anti-malware をダウンロードしてインストールする。(無料版で良い)
c0240934_18332418.jpg


3. スキャンを行って、「remove selected」をクリックして完了。(PCは再起動する)



上記以外に参照したサイト
[PR]
by 1229n | 2016-04-04 18:38 | マルウエア・クッキー等 | Comments(0)