YoutubeダウンロードソフトのFreemake Video Downloaderのインストーラーが「Riskware」と分類された。

セキュリティソフトであるHitmanProはYoutubeダウンロードソフトの「Freemake Video Downloader」のインストーラーファイルをRiskwareのWin32.OpenCnadyとして検出した。
c0240934_22161428.jpg

なお、インストール済のFreeMake Video ConveterはPUPやRiskwareとして検出されていない。


結果
結果
Freemake Video Downloaderは、インストール時にすべてデフォルトで進めてしまうとInternet Exporer と Firefoxのトップページとデフォルト検索エンジンを書き換える。それ以外に特に目立った害はなかった。
検出状況
Win32.OpenCnadyとは
スキャン結果
問題のインストラーの挙動
感染後の挙動
対処方法


検出状況
複数のウェブサイトの情報によればESET AntivirusMicrosoft Security EssentialsなどもこのインストーラーをPUPとして検出している。
なお、「Spybot」、「 Malwarebytes Anti-malware」、「Avast」などの、こののインストーラーをスルーしているセキュリティソフトもある。(2016年3月30日現在)
c0240934_21184083.jpg


HitmanProの簡易的な説明によれば「not-a-virus:Adware.Win32.OpenCnady.bv(ウイルスではない:アドウエアWin32.OpenCnady.bv)」となっている。


Win32.OpenCnadyとはMalwaretipsによれば、複数のアンチウィルスソフトウエアがPUP(アドウエアを含んでいたり、ツールバーや不明確なオブジェクトをインストールする潜在的に望まれないアプリ)とする特定の検出である。
Win32.OpenCnadyはまたブラウザに広告、バナーポップアップ広告、文字広告を表示させる。
その他の一般的な挙動としては、

  • 広告バナーを閲覧したウェブページに挿入させる
  • ウェブページの文字がランダムにハイパーリンクに変わってしまう。
  • 偽のアップデートソフト、その他のソフトを勧めるポップアップがブラウザに出る。
  • コンピュータユーザーの知らないうちに、他の望まれないアドウエアをインストールしてしまう可能性がある。
である。


スキャン結果
試した4種のセキュリティソフトウエアのうち、HitmanProだけがFreemake Video Downlorderのインストール用ファイルであるFreemakeVideoDownloderSetup.exeをRiskwareとして検出した。



問題のインストラーの挙動
実際にFreemake Video Downlorderインストール用ファイルをした画面。
c0240934_16352158.jpg

「Bing®により起動する検索を、ホームページ、新しいタブ、デフォルト検索エンジンとしてFirefoxとInternet Explorerに設定する」とある。
どうやらここが、HitmanProの検出に引っかかったと思われる。


感染後の挙動
  • Firefoxのスタートページが「bing」に書き換えられていた。
    c0240934_1775818.jpg
  • Firefoxの検索ボックスが「bing」に書き換えられていた。
    c0240934_17133118.jpg
  • EdgeでYahooのトップページを表示させた場合の広告などの表示は特に変わり無し。
    (Malwaretipsで記載されたような広告バナーやテキスト広告の挿入等の挙動は確認できなかった)
    c0240934_1822535.jpg

  • Internet Explorerは通常使っていないため確認していない。
  • MicrosoftEdgeは確認とれず(もともとスタートページがBingでデフォルト検索エンジンもBingのため)



  • 対処方法
    Malwaretips の記事(英文)に記載してある AdwCleaner、Junkware Removal Toolによる除去は、スタートページの改ざんのみに対処できた。
    1. AdwCleanerによる修復を試みると、スタートページの変更だけが元に戻った。

    c0240934_17162919.jpg

    2. Junkware Removal Toolでの修復を試みるが、検索窓のデフォルトサーチエンジンはもとに戻らなかった。
    3. FireFoxの設定をし直して、復元完了
    c0240934_17221595.jpg



    以上により、Freemake Video Downloderのインストールファイルで行われたブラウザ改変を元に戻すことができた。
    なお、Microsoft Internet Explorer でも同様にデフォルトサーチエンジンの手動設定による回復が必要と思われる。


    テストOS: Windows 10 Home 64bit
    ブラウザ:Firefox英語版
    [PR]
# by 1229n | 2016-03-25 21:20 | マルウエア・クッキー等 | Comments(0)

無料(フリー)のレジストリークリーナー(Windows 10)体験記

2013年にレジストリクリーナーの製品レビューを記事にしてから時間がたっているので、改めてその動作を確認した。

テスト方法
  1. 無効な値やキーを含むレジストリを持ったWindows 10のPCを用意する。
    レジストリエディターでコンピュータ\HKEY_LOCAL_MACHINE\SYSTEMに無効な値やキーを7個入れる。
    c0240934_2216223.jpg


    他にSlimWareというドライバアップデートユーティリティ(一部ではインチキ製品と言われている。私は完全にインチキ製品だと思っている)をアンインストールしたときの残骸。
    c0240934_22170100.jpg

    掲載のスクリーンキャプチャのほかに2か所。
  2. Googleで「レジストリクリーナー フリー」のキーワードで検索し、最上位に表示されたサイト(そのサイトがソフトの一覧だった場合はその最上位)のソフトのレジストリークリーナーをインストールし、試す。

「無料レジストリ掃除・最適化ソフト一覧 - フリーソフト100」が最上位に表示された。
そのなかで「無料レジストリ掃除・最適化ソフト配布サイト」としてトップに挙げられているのが、CCleanerである。

「無料レジストリ掃除」として紹介されているのに、ダウンロード画面に行くと、「完全なクリーニング」は有料(年間24.95米ドル)である。
c0240934_2218346.jpg


紹介している freesoft-100.comが悪いのか、開発元のPiriformが悪いのか分からないが、フリーでないものをフリーとして紹介しているのが気に障る。
とりあえず Freeと書いてあるものをダウンロード。
インストーラーは日本語対応。
c0240934_2218478.jpg
c0240934_22191353.jpg



途中でインストールオプション画面が出るが、意味の分からないものはチェックマークを外す。
インストールが完了して出てきたのが、この画面。
c0240934_22195436.jpg


レジストリーをこのソフトで解析してみる。
ん?このアプリは自分でも気づいていない無駄なレジストリーを挙げている。
c0240934_22203382.jpg

もしかして効果があるのか?と思った。
1643点のレジストリ掃除が終わった。
しかしながら、最初に用意した無効なレジストリもSlimWareに関するエントリーも削除されていなかった。
c0240934_22204663.jpg

c0240934_22205281.jpg

まとめ

  • CCleanerには、しつこい有償版の購入画面や隠れたコストはない。
  • CCleanerは、ある程度、レジストリから無効な値やキーを取り除いてくれる。
  • CCleanerは、無駄なレジストリキーのすべてを削除してくれるわけではない。
  • したがって、このアプリが良いものであるかどうかは、このブログでは判定できない。
  • PCの起動時間に関しては正式に計測していないが、特に早くなったなどの実感なし。

追記

[PR]
# by 1229n | 2016-03-09 22:22 | マルウエア・クッキー等 | Comments(0)

Skypeで見知らぬ人からのメッセージ

Windows 10を使っていたらいきなりのポップアップ。

内容は
Skypeビデオ
おすすめの友達
友達リクエストが届いている可能性があります

inspiration.baker3さんがSkypeへの追加を希望しています。
Hello, add me! <3

c0240934_17240600.jpg
もちろん、却下ボタンを押した。
マルウエア感染を疑ったが、とりあえずSpybotとMalwarebyte Anti-malwareでは異常なし。
なんだったんだろう?

「教えてgoo!」で聞いてみることにする。

[PR]
# by 1229n | 2016-02-15 17:26 | PC一般 | Comments(0)