マルウエア、迷惑ソフト駆除まとめ

悪意のあるソフトウエアや迷惑ソフトの駆除に使えるWindows対応のソフトで基本的に無料なものをまとめる。
検出・駆除できるマルウエア、アドウエアには差がある。

c0240934_21210081.jpgノートンパワーイレーサー
  • セキュリティソリューションの大手からリリースされているスカムウェア駆除ソフト。
  • メーカーの紹介文では「従来のウイルススキャンでは検出されない脅威を取り除く」とされている。
  • 日本語対応。価格は無料。
  • ルートキットの駆除も可能とうたわれている。
  • あまりにも強力なため正規のプログラムを駆除してしまうこともあるらしいので、使用には注意。
  • 他のセキュリティソフトウエアと共存可能。
  • 常駐は出来ない。
  • c0240934_21223383.jpg
    迷惑アプリのSpeedUpMyPCを検出したノートンパワーイレーサー

c0240934_21225357.jpgMalwarebytes Anti-Malware
  • 有料版のPremiumは 2980円/年/PC1台だが、無料版でもマルウエアを含むPUPのスキャンと駆除が可能。
  • Trojan、ルージュなどにも対応。日本語対応はメニューとメッセージの一部のみ。
    (日本語のファイルはスキャン可能)
  • なお、駆除の時に必要なブラウザ情報なども消えてしまうことがあるらしい。北きつねさん、情報ありがとうございました。
  • 常駐は有償版でのみ対応。
  • c0240934_21243630.jpg
    Malwarebyteスキャン画面 SpeedUpMyPCはスルーされた。tradeadexchangeは検出したらしい。

c0240934_21250618.jpgHitmanPro
  • トラッキングクッキーなどの発見率は高い。
    (ただし2016/3/22現在、アドウエアのtradeexchange.comに対応していなかったとの情報あり)
  • 開発元のWEBサイトには、他のセキュリティソフトウエアと共存可能であると書かれている。
  • 駆除もできる有償版は24.95米ドル/年間/PC1台。ただし無料で14日間試用可能。
  • c0240934_22522385.jpg
    ReviverSoft、SpeedUpMyPC、GardeningEnthuasist、PCMechanicのアンインストール後レジストリに残るキーを検出したHitmanPro。


c0240934_21271392.jpgSpybot
  • 窓の杜では「定番のスパイウエア対策ソフト」と紹介されている。
  • マルウエアの検索・駆除とも無償版で対応可能。機能を追加した有償版も用意されている。
  • Windows 10にインストールした際、スタートアップに登録されたが、どのような動作をするのかは不明。
  • 日本語化もできるらしいが、シンプルなインターフェースなので英語版のままでも十分利用可能。
  • c0240934_21281753.jpg
    SlimwareをPUPとして検出したSpybot


[PR]
# by 1229n | 2016-05-01 00:00 | マルウエア・クッキー等 | Comments(0)

大げさにエラー表示して有料版の購入を迫るSpeedUpMyPC 2016

SpeedUpMyPCが2016になっていたので、その挙動を確かめた。併せて駆除の方法もまとめた。

セキュリティ関連サイトでの記載
SpeedUpMyPCの以前のバージョンはシマンテックの公式サイトに「SpeedUpMyPc は、コンピュータの動作を遅くするという問題について誤解を招く情報を表示する、不要と思われるアプリケーションです。問題を解決するために代金を支払うようユーザーに要求する可能性があります。」と記載されている。
(引用者からの補足:実際に要求される。)
SpeedUpMyPC 2016も同じくPUP(シマンテックの用語でいうとPUA)であると考えられる。

SpeedUpMyPC 2016の挙動
  • 「PCにエラーがみつかりました」等のブラウザのメッセージと混同しそうな広告で、ダウンロードを促す。
  • ダウンロードしたファイルを実行すると、「SpeedUpMyPC 2016で無料スキャンを開始」というタイトルの画面が出てきて「同意してスキャンする」をクリックすると、SpeedUpMyPC 2016のインストールが開始される。
    c0240934_20153962.jpg

  • インストールが完了すると「スキャン」が開始され大げさな警告がポップアップする。
    c0240934_2015524.jpg

  • 例として優先度が高とされているジャンクファイルの結果を見てみる。
  • ごみ箱が空にされていない、Windows一時ファイルがある、インターネット一時ファイルがあるなど、このSpeedUpMyPC 2016を使わなくても簡単に解決できるものばかりである。わかる人にはわかるが、これらのファイルを削除したとしても「スピードアップ」は望めない。
    c0240934_2016673.jpg

  • 緑色の「削除」や「修復」ボタンを押すと、WEBブラウザが開き有料版の購入を促される。
    c0240934_20162133.jpg

  • SpeedUpMyPC 2016を閉じようとして右上のxボタンをクリックしてもこのプログラムは終了できない。
  • さらに下のような画面が出てきて右上の「閉じる」をクリックしても終了できない。
    c0240934_20164029.jpg


    終了するには「今すぐ購入」という緑色のボタンの下の「終了」をクリックする。
  • SpeedUpMyPC 2016は自身をスタートアップに登録し、Windows起動のたびに「スキャン」→「エラーの表示」→「有料版の購入督促」を繰り返す。
    c0240934_20165445.jpg

  • しばらく放っておくと、Windows画面右下からポップアップを出して、エラーの表示と有料版の購入督促を行う。
    c0240934_2017267.jpg



セキュリティソフトでの判定
有名どころのセキュリティソフト4種類のうち半数が、迷惑ソフトとしてSpeedUpMyPC 2016を検出した。
SpeedUpMyPC 2016の駆除

コントロールパネルからのアンインストールという方法もあるが、事前にタスクマネージャーでSpeedUpMyPC 2016関連のプログラムを終了させる必要があるため、ノートンパワーイレーサーを使ったほうが簡単である。
  1. ノートンパワーイレーサー(ファイル名はNPE.exe)をダウンロード、実行する。
  2. 内容に同意し、ノートンパワーイレーサーが起動したら「迷惑アプリのスキャン」を実施
    c0240934_2018311.jpg

  3. SpeedUpMyPCが見つかるので、アンインストールをクリックして終了。
  4. アンインストールが完了すると値引きされた値段でソフトを買うように誘うページが開くが無視してよい。
    c0240934_2023873.jpg


[PR]
# by 1229n | 2016-04-09 20:18 | マルウエア・クッキー等 | Comments(0)

今さらだが3月19日にウイルスメールを受信した。

yahoo メールをチェックしたところ、「自分から自分宛てのメール」が届いていた
掲題がDocument2で添付ファイルがDocument2.zip。
何かUSBメモリなど経由でファイルを移動させるのが面倒な時に、やりそうだ。
心当たりは無いが。
c0240934_7155115.jpg


「Received-SPF: softfail (186-211-181-90.commcorp.net.br: domain of transitioning *******@yahoo.co.jp does not designate 186.211.181.90 as permitted sender)」とヘッダにあったので、送り元を詐称したメールがブラジルのどこかのサーバー経由で送りつけてきたのであろう。
(186.211.181.90の持ち主を調べたら、COMMCORP COMUNICACOES LTDAというブラジルの組織であった。)

Avastを導入済のPCに転送したところウイルス(JS-Agent-DTI[Tr])と判定された。
c0240934_716193.jpg



恐らく拡張子を偽造した実行ファイルか、圧縮ファイルがウィルスを含んでいるものと思われる。

検索してもこのウイルスが何者であるかは分からなかったが、とりあえずは例え実行形式でないファイルでも身に覚えがなければ、解凍・閲覧・実行しないのが鉄則。

(本当はセキュリティ対策済みのコンピュータででも、こういう行為は危険らしいけどね^^;)

2016/04/07追記
自分のメルアドにモザイクしてなかった。まっいっか、このままで。
[PR]
# by 1229n | 2016-04-07 07:19 | マルウエア・クッキー等 | Comments(0)