今さらだが3月19日にウイルスメールを受信した。

yahoo メールをチェックしたところ、「自分から自分宛てのメール」が届いていた
掲題がDocument2で添付ファイルがDocument2.zip。
何かUSBメモリなど経由でファイルを移動させるのが面倒な時に、やりそうだ。
心当たりは無いが。
c0240934_7155115.jpg


「Received-SPF: softfail (186-211-181-90.commcorp.net.br: domain of transitioning *******@yahoo.co.jp does not designate 186.211.181.90 as permitted sender)」とヘッダにあったので、送り元を詐称したメールがブラジルのどこかのサーバー経由で送りつけてきたのであろう。
(186.211.181.90の持ち主を調べたら、COMMCORP COMUNICACOES LTDAというブラジルの組織であった。)

Avastを導入済のPCに転送したところウイルス(JS-Agent-DTI[Tr])と判定された。
c0240934_716193.jpg



恐らく拡張子を偽造した実行ファイルか、圧縮ファイルがウィルスを含んでいるものと思われる。

検索してもこのウイルスが何者であるかは分からなかったが、とりあえずは例え実行形式でないファイルでも身に覚えがなければ、解凍・閲覧・実行しないのが鉄則。

(本当はセキュリティ対策済みのコンピュータででも、こういう行為は危険らしいけどね^^;)

2016/04/07追記
自分のメルアドにモザイクしてなかった。まっいっか、このままで。
[PR]
# by 1229n | 2016-04-07 07:19 | マルウエア・クッキー等 | Comments(0)

Malwarebyte Anti-malwareがWinZip Registry OptimizerをPUPとして検出。駆除も可能。

最初にまとめ
  • WinZip Registry Optimizerは3種類のうち1つのセキュリティソフトでPUPとして検出された。
  • 侵入経路は主にWEBサイトの広告から
  • このソフトの挙動は、勝手にレジストリスキャンを行いPCが危機にあるような不安を煽る。
    またスタートアップに登録され、有料版の購入を促す。
  • 削除は手動のほかに無料のセキュリティソフトで行える。






侵入経路
侵入経路は、主にWEBページに出てくる広告からである。
c0240934_18232398.jpg

この画面の例では「PCのエラーを修正しました」という文字広告が出てくる。
これをブラウザからのメッセージと思いクリックすると、「Windowsエラーの修復の仕方」と題されたページに飛ばされ「Windows修復ツール」のダウンロードを促される。このツールは無料と錯覚されやすい。
c0240934_18241476.jpg



WinZip Registry Optimizerの挙動
  1. インストールが終わると、自動的にスキャンが行われ、「インパクト」が「高」として「問題の修正」を促す。
    c0240934_1824425.jpg

  2. 「レジストリの問題を放置しておくとシステムのパフォーマンスと安全性に悪影響を及ぼし、PCのクラッシュやシステムエラーの原因となったり…」と警告メッセージを出し、有料版の購入を促す。
    c0240934_18252192.jpg

  3. Windows画面右下からポップアップが出て有料版の購入を促す。
    c0240934_18254094.jpg

  4. 自身をスタートアップに登録し、PCの電源を入れるたびに「スキャン」→「有料版の購入督促」の動作を行う。
    c0240934_1826616.jpg


ちなみに価格は年間4423円であった。
Nortonでは「エラーの警告をしてソフト購入を誘導する詐欺に遭遇する可能性が高いといえます。」言い切っている。


無料セキュリティソフトでの検出と駆除
WinZip Registry Optimizerに対するスキャン結果は、


であった。
セキュリティソフトによりバラつきがあるが、上の3つのうち1つでもPUP扱いしており、さらにノートンブログのコメント(怪しげなサイトよりこちらのほうが信用できる)でも詐欺の可能性が高いとしているので、削除したほうがいいというのがブログ主の意見である。
(他の記事との重複になるがマイクロソフトの公式サイトやノートンの公式サイトでもレジストリクリーナー自体が今のWindowsには不要という見解がある。)


(botcrawl によるとCCleanerによるレジストリの削除も記載されているが、上記のことからそれは必要ないと「思う」。)
CCleaner自体には勝手なスキャンや有料版の押し売りが無いので、詐欺という印象はなかった。

駆除は、コントロールパネルからのアンインストールがあるが、WinZip Registry Optimizerのタスクマネージャーから強制終了などの手順が必要なため、Malwarebyte Anti-malwareを使ったほうがシンプル。


1.まずは自動的に起動しているWinZip Registry Optimizerを終了させる右上のxボタンを押せばよい。
このときにまた脅し画面が出るが、それもx印を押してプログラムを完全に終了させる。
c0240934_18301674.jpg



2.Malwarebyte Anti-malware をダウンロードしてインストールする。(無料版で良い)
c0240934_18332418.jpg


3. スキャンを行って、「remove selected」をクリックして完了。(PCは再起動する)



上記以外に参照したサイト
[PR]
# by 1229n | 2016-04-04 18:38 | マルウエア・クッキー等 | Comments(0)

YoutubeダウンロードソフトのFreemake Video Downloaderのインストーラーが「Riskware」と分類された。

セキュリティソフトであるHitmanProはYoutubeダウンロードソフトの「Freemake Video Downloader」のインストーラーファイルをRiskwareのWin32.OpenCnadyとして検出した。
c0240934_22161428.jpg

なお、インストール済のFreeMake Video ConveterはPUPやRiskwareとして検出されていない。


結果
結果
Freemake Video Downloaderは、インストール時にすべてデフォルトで進めてしまうとInternet Exporer と Firefoxのトップページとデフォルト検索エンジンを書き換える。それ以外に特に目立った害はなかった。
検出状況
Win32.OpenCnadyとは
スキャン結果
問題のインストラーの挙動
感染後の挙動
対処方法


検出状況
複数のウェブサイトの情報によればESET AntivirusMicrosoft Security EssentialsなどもこのインストーラーをPUPとして検出している。
なお、「Spybot」、「 Malwarebytes Anti-malware」、「Avast」などの、こののインストーラーをスルーしているセキュリティソフトもある。(2016年3月30日現在)
c0240934_21184083.jpg


HitmanProの簡易的な説明によれば「not-a-virus:Adware.Win32.OpenCnady.bv(ウイルスではない:アドウエアWin32.OpenCnady.bv)」となっている。


Win32.OpenCnadyとはMalwaretipsによれば、複数のアンチウィルスソフトウエアがPUP(アドウエアを含んでいたり、ツールバーや不明確なオブジェクトをインストールする潜在的に望まれないアプリ)とする特定の検出である。
Win32.OpenCnadyはまたブラウザに広告、バナーポップアップ広告、文字広告を表示させる。
その他の一般的な挙動としては、

  • 広告バナーを閲覧したウェブページに挿入させる
  • ウェブページの文字がランダムにハイパーリンクに変わってしまう。
  • 偽のアップデートソフト、その他のソフトを勧めるポップアップがブラウザに出る。
  • コンピュータユーザーの知らないうちに、他の望まれないアドウエアをインストールしてしまう可能性がある。
である。


スキャン結果
試した4種のセキュリティソフトウエアのうち、HitmanProだけがFreemake Video Downlorderのインストール用ファイルであるFreemakeVideoDownloderSetup.exeをRiskwareとして検出した。



問題のインストラーの挙動
実際にFreemake Video Downlorderインストール用ファイルをした画面。
c0240934_16352158.jpg

「Bing®により起動する検索を、ホームページ、新しいタブ、デフォルト検索エンジンとしてFirefoxとInternet Explorerに設定する」とある。
どうやらここが、HitmanProの検出に引っかかったと思われる。


感染後の挙動
  • Firefoxのスタートページが「bing」に書き換えられていた。
    c0240934_1775818.jpg
  • Firefoxの検索ボックスが「bing」に書き換えられていた。
    c0240934_17133118.jpg
  • EdgeでYahooのトップページを表示させた場合の広告などの表示は特に変わり無し。
    (Malwaretipsで記載されたような広告バナーやテキスト広告の挿入等の挙動は確認できなかった)
    c0240934_1822535.jpg

  • Internet Explorerは通常使っていないため確認していない。
  • MicrosoftEdgeは確認とれず(もともとスタートページがBingでデフォルト検索エンジンもBingのため)



  • 対処方法
    Malwaretips の記事(英文)に記載してある AdwCleaner、Junkware Removal Toolによる除去は、スタートページの改ざんのみに対処できた。
    1. AdwCleanerによる修復を試みると、スタートページの変更だけが元に戻った。

    c0240934_17162919.jpg

    2. Junkware Removal Toolでの修復を試みるが、検索窓のデフォルトサーチエンジンはもとに戻らなかった。
    3. FireFoxの設定をし直して、復元完了
    c0240934_17221595.jpg



    以上により、Freemake Video Downloderのインストールファイルで行われたブラウザ改変を元に戻すことができた。
    なお、Microsoft Internet Explorer でも同様にデフォルトサーチエンジンの手動設定による回復が必要と思われる。


    テストOS: Windows 10 Home 64bit
    ブラウザ:Firefox英語版
    [PR]
# by 1229n | 2016-03-25 21:20 | マルウエア・クッキー等 | Comments(0)