Sasayama’s Weblog


2008/09/05 金曜日

悪質な「トロイの木馬」に、あなたのブラウザなどが汚染されたら?

Filed under: 未分類 — 管理人 @ 06:58:47

 

null通常のウイルス対策ソフトや通常のスパイ・ウェア対策ソフトをコンピュータが装備していても、たまに、いつの間にか、スクリーンやブラウザに真っ赤なアラートが出て、たとえば”PC Protection Center”というようなもっともらしい名前のサイトに誘導され、特定のソフトを買わなければ排除できないように強制されることがある。

マルウェア(malware、悪意のこもったソフトウエアとの意味)と呼ばれる、この種の新手のスパイウェアには、次の三種類があるようだ。

Trojan(トロイの木馬)

一見合法的なソフトのように見えるが、実は、コンピュータに破壊的なダメージを与えるものだ。
近時の代表的なトロイの木馬には、次のようなものがある。
Trojan Spy.Win32.DKS
Trojan Downloader Agent EL
Trojan Fake Alert
Trojan Win32 DNS Charge huq

Hijacker(ハイジャッカー)

コンピュータのコントロール機能そのものを支配するもので、それ自体増殖していくという始末に終えないものだ。
これには、次のようないくつかのタイプがある。

ブラウザ・ハイジャッカー

現在のインターネットのブラウザの設定を変えてしまうもので、この結果、悪意のあるサイトにコンピュータの所有者が誘導されてしまうことになる。
ホームページが偽のホームページになっていたり、コピーのホームページになっていたりする。
また、これによって、コンピュータの所有者が検索した結果が、ある特定のサイトに誘導されてしまうこともある。

オートラン・ハイジャッカー

自動的に一定のプログラムが、所有者のコンピュータで始動されてしまう。
私の経験では、スクリーン上に虫がどんどん這い出してくる、というようなものもあった。

ダウンローダー(Down Loader)

トロイの木馬の一種で、所有者のコンピュータに自動的に悪意のあるプログラムがインストールされてしまうもの。
このダウンロードが連続的に新しいバージョンでなされる。
また、これは、ブラウザソフトであるインターネットエクスプローラーの脆弱性をついてなされる。
このダウンローダーは、特に、VBScriptやJavaScriptの形でされることが多いようだ。

以上だが、これまでのウイルス対策ソフトやアンチ・スパイウエア・ソフトで駆除できない弱みを与えて、コンピュータ所有者に対策ソフトを買わせてしまうという悪質なものも多いようだ。

では、これに対する無料のソフトはといえば、AVGAvira AntiVir Personala-squared FreeSpywareFighterStopZilla などの試用期間中無料ソフトくらいしかないようだ。

後は、有料で安いものといえば、Exterminate It 位だが、これだと、2870円ほどかかってしまう。

また、Spyware Doctor というソフトでは、必要もない三個単位でのソフトの購入を求められ、4490円もの散財をしてしまう。

本当に始末の悪いトロイの木馬ではある。

また、本来のインターネット・エクスプローラー以外に常駐しているもうひとつのiexplore.exe も悪意のあるマルウェアである。

インターネットのブラウザを開こうとすると、この警告が出てきて、実質開けなくなる、という始末の悪いものだ。

これについては、上記のソフトによるスキャンのほか、
このサイト「常駐ソフトを無効化する方法-不要なシステムプログラムを常駐させない(上級者用) 」に詳しい。-を試されるといい。(「スタート」→「ファイル名を指定して実行(R)」。「名前(O):」に “msconfig” を入力)

また、フリーソフト「Process Explorer」をダウンロードして、MS-DOSやWindowsで実行できるプログラムが収められたEXEファイル(ファイル名に「.exe」という拡張子がつけられている)の階層関係を調べて、本来のiexplore.exe以外のiexplore.exeを削除するという手もあるようだ。(マウスの右クリックで”Kill Process”で削除できる。)
このProcess Explorerでは、悪意あるマルウエアではないが、常駐しているがために、CPUを遅くしてしまう、本来不要なReal Networks scheduler(Real Playerをダウンロードすると付随して常駐ソフトとなってしまう。)なども検出されてくるので、これらも、上記の手法で削除しておいたほうが賢明のようだ。

以下は代表的なトロイの木馬などの名前である。

1. Zlob.Fam
2. Vundo (Virtumondo)
3. Fake Screensaver
4. NetSky
5. Zlob.DNS Changer
6. Trojan Spy.Win32.DKS
7. internetsearchservice.com
8. Zlob.Fake Security Alerts
9. Zlob.Fam.E404.e404mgr
10. Win32.ExpDwnldr

そのほか、これは、IEブラウザにのみ発生するようだが、OXOeedfade というものがあるが、これが、スパイウェアかどうかはわからないが。

この「OxOeedfade」への対処方法については、このサイト「OxOeedfade」に書いてある。

それによると、まず、サイト「Welcome to The Spykiller 」にいき、一番下にある「File Repository」をダウンロードすればいいとしている。

付記 あなたのPCに「 PC Protection Center 2008」という、もっともらしい名前のサイトからのアラートがスクリーンに出た場合の処理の仕方

この「 PC Protection Center 2008」という最もらしい名前のサイトの目的は、あなたのPCがマルウエアに感染したということをネタにして、結局は、その除去のためのアンチ・マルウエア・ソフトを買わせるように誘導する、悪質なサイトです。

このサイトにあなたが反応した場合は、さらに悪質なソフトを「 PC Protection Center 2008」は、あなたのPCに送り込んで、ついには、あなたのPCを制御不能の状態にまでおとしこめていきます。

たとえば、スクリーン上に虫がどんどん生えだしてくるようなソフトを、あなたのPCに組み込んでいくというわけです。

したがって、あなたのPCにこの「 PC Protection Center 2008」という、もっともらしい名前のサイトからのアラートがスクリーンに出た場合、次のような処理をする必要があります。

まず第一に、あなたのPCから、この「 PC Protection Center 2008」を除去する手続きです。

PCの検索で「PC Protection Center」と入力すると、ハードディスクCの「Documents and Settings」のなかの「Cookies」や「WINDOWS」のなかの「Cookies」の中などから、ぞろぞろ、「PC Protection Center」の名前のついたファイルが出てきますので、これを削除します。

また、これが苦手な方は、「SpyWare Doctor」のスキャン・ソフト「Free Scanner for PC Protection Center 2008」をこのサイト『What is PC Protection Center 2008』からダウンロードし、場所を特定してから、削除作業に入ったほうがいいでしょう。

また、PCトップ画面上に、「PC Protection Center」 のアラート・メッセージが張り付いてしまっているときには、『コントロール・パネル』の『画面』を開き、『テーマ』を見てみますと、現在のテーマが(変更)となって、トップ画面が改変されているはずですから、これを右横の『削除』ボタンを押して削除し、新しい画面をえらべば、消えるはずです。

以下は『PC Protection Center 2008 』があなたのPCに与える脅威の数々です。

広告の表示
個人のデータ/キーストロークの記録
インターネット ブラウザのハイジャック
リモート操作の有効化
未承諾ファイルのダウンロード
プログラム/システムの無効化
承認されていない通話
セキュリティの欠陥の悪用
インターネット接続のオーバーフロー
脅威の配信
インストールされたアプリケーションによる、閲覧履歴の追跡
クッキーによる、閲覧履歴の追跡
ユーザ未承諾のインストール
不適切なアンインストール手順
不適当な個人情報の開示と承諾
システム リソースの過剰使用
スパイウェアの検知と駆除についての不正な報告
サイレント アップデートの実行

参考 代表的なマルウェア一覧

AdTool.Win32.MyWebSearch
AdTool.Win32.MyWebSearch.as
AdTool.Win32.MyWebSearch.au
AdTool.Win32.MyWebSearch.bc
AdTool.Win32.MyWebSearch.bn
AdTool.Win32.MyWebSearch.i
AdTool.Win32.WhenU.i
AdTool.Win32.WhenU.r
AdTool.Win32.WhenU.t
AdTool.Win32.Zango.ag
AdTool.Win32.Zango.e
AdvWare.Win32.180Solutions.am
AdvWare.Win32.Agent.ahl
AdvWare.Win32.Agent.e
AdvWare.Win32.Agent.zk
AdvWare.Win32.Alibabar.n
AdvWare.Win32.Altnet.a
AdvWare.Win32.Altnet.j
AdvWare.Win32.BHO.cdk
AdvWare.Win32.BHO.de
AdvWare.Win32.BHO.gm
AdvWare.Win32.BHO.ib
AdvWare.Win32.BHO.ya
AdvWare.Win32.BrilliantDigital.3039
AdvWare.Win32.Casino.w
AdvWare.Win32.Comet.bs
AdvWare.Win32.Craagle.18
AdvWare.Win32.E404.g
AdvWare.Win32.FunWeb.e
AdvWare.Win32.HotBar.ck
AdvWare.Win32.HotSearchBar.e
AdvWare.Win32.IWon.a
AdvWare.Win32.Maxifiles.a
AdvWare.Win32.Midadle.e
AdvWare.Win32.Mirar.i
AdvWare.Win32.MyWay.o
AdvWare.Win32.MyWebSearch
AdvWare.Win32.MyWebSearch.af
AdvWare.Win32.MyWebSearch.al
AdvWare.Win32.MyWebSearch.an
AdvWare.Win32.MyWebSearch.aq
AdvWare.Win32.MyWebSearch.f
AdvWare.Win32.MyWebSearch.i
AdvWare.Win32.NavExcel.h
AdvWare.Win32.OneStep.a
AdvWare.Win32.OneStep.b
AdvWare.Win32.OneStep.c
AdvWare.Win32.RK.ad
AdvWare.Win32.Rabio.g
AdvWare.Win32.SaveNow.bj
AdvWare.Win32.SaveNow.bo
AdvWare.Win32.Shopper.e
AdvWare.Win32.Shopper.q
AdvWare.Win32.Softomate.ah
AdvWare.Win32.Trymedia.b
AdvWare.Win32.Trymedia.d
AdvWare.Win32.Vapsup.vq
AdvWare.Win32.Virtumonde.abti
AdvWare.Win32.Virtumonde.cli
AdvWare.Win32.Virtumonde.gen
AdvWare.Win32.Virtumonde.iwu
AdvWare.Win32.Virtumonde.lvo
AdvWare.Win32.WebHancer
AdvWare.Win32.WinAD.bt
AdvWare.Win32.WurldMedia.c

Backdoor.IRC.Kelebek.a
Backdoor.IRC.Snick.a
Backdoor.IRC.Zapchast
Backdoor.Win32.Agent.ahj
Backdoor.Win32.Agent.duj
Backdoor.Win32.Agent.mra
Backdoor.Win32.Agent.ndd
Backdoor.Win32.Agobot.wd
Backdoor.Win32.Bifrose.adr
Backdoor.Win32.Delf.um
Backdoor.Win32.GrayBird.cr
Backdoor.Win32.Hupigon.gs 4
Backdoor.Win32.MIRC.d
Backdoor.Win32.Notpa
Backdoor.Win32.Rbot.eaa
Backdoor.Win32.SdBot.bim
Backdoor.Win32.SdBot.eny
Backdoor.Win32.Shadow.b
Backdoor.Win32.VB.esi
Backdoor.Win32.WinVNC.Based.c
Backdoor.Win32.WinterLove.cy
BadJoke.Win32.Delf.af

Constructor.Win32.Lmir.t
Constructor.Win32.YahooSpy.b

DOS.OneHalf
Downloader.Win32.AdvancedCleaner.b
Downloader.Win32.Bestseller.d
Downloader.Win32.ImLoader.e
Downloader.Win32.Keylogger.a
Downloader.Win32.PopCap.b
Downloader.Win32.VDown.a
Downloader.Win32.WinFixer.au
Downloader.Win32.WinFixer.ba
Downloader.Win32.WinFixer.ec

Email-Worm.Win32.Bagle.gen
Email-Worm.Win32.Bagle.of
Email-Worm.Win32.Bagle.vr
Email-Worm.Win32.Brontok.q
Email-Worm.Win32.NetSky.aa
Email-Worm.Win32.Warezov.pk
Email-Worm.Win32.Zhelatin.afg
Email-Worm.Win32.Zhelatin.zt
Exploit.HTML.IESlice.bf
Exploit.HTML.IESlice.fl
Exploit.JS.Agent.rx
Exploit.JS.RealPlr.kz
Exploit.Java.ByteVerify
Exploit.Win32.Pidief.ew 1
Exploit.Win32.RealServer.b

FraudTool.Win32.AntiSpyware.am
FraudTool.Win32.AntiSpywareBot.al
FraudTool.Win32.ContaVir.c
FraudTool.Win32.ErrorDoctor.a
FraudTool.Win32.IeDefender.be
FraudTool.Win32.MalwareProtector.d
FraudTool.Win32.Reanimator.a
FraudTool.Win32.SmartFixer.a
FraudTool.Win32.SpyNoMore.g
FraudTool.Win32.SpySheriff.v
FraudTool.Win32.SpywareBot.d

HackTool.Win32.Agent.cx
Hoax.HTML.Secureinvites.a
Hoax.Win32.Renos.asm
Hoax.Win32.Renos.vaoz

I-Worm.Bagle.gen.zip
I-Worm.Klez.e
I-Worm.Rays
IRC-Worm.Win32.Bilay.a

Net-Worm.Win32.Kolabc.l
Net-Worm.Win32.Maslan.b

P2P-Worm.Win32.Polip.a
P2P-Worm.Win32.Socks.ew
P2P-Worm.Win32.Socks.fg
P2P-Worm.Win32.VB.dw

RemoteAdmin.Win32.RemotelyAnywhere.f
RiskTool.Win32.Deleter.e
Rootkit.Win32.Podnuha.zn

Trojan-Clicker.HTML.Agent.s
Trojan-Clicker.Win32.Agent.amt
Trojan-Clicker.Win32.Delf.aiu
Trojan-Clicker.Win32.Delf.apc
Trojan-Clicker.Win32.Small.js
Trojan-Clicker.Win32.VB.bff
Trojan-Downloader.JS.Agent.bex
Trojan-Downloader.JS.Psyme.air
Trojan-Downloader.Java.OpenConnection.ak
Trojan-Downloader.Java.OpenStream.ac
Trojan-Downloader.Win32.Adload.ps
Trojan-Downloader.Win32.Agent.aatk
Trojan-Downloader.Win32.Agent.ex
Trojan-Downloader.Win32.Agent.gyl
Trojan-Downloader.Win32.Agent.kfd
Trojan-Downloader.Win32.Agent.of
Trojan-Downloader.Win32.Agent.vil
Trojan-Downloader.Win32.Agent.wxq
Trojan-Downloader.Win32.Bagle.ho
Trojan-Downloader.Win32.Banload.qpr
Trojan-Downloader.Win32.Delf.kbh
Trojan-Downloader.Win32.Homles.bz
Trojan-Downloader.Win32.Murlo.nn
Trojan-Downloader.Win32.Small.aapn
Trojan-Downloader.Win32.Small.aaxp
Trojan-Downloader.Win32.Small.cyn
Trojan-Downloader.Win32.Small.df
Trojan-Downloader.Win32.Small.dph
Trojan-Downloader.Win32.Small.xwr
Trojan-Downloader.Win32.Small.yxa
Trojan-Downloader.Win32.Small.zek
Trojan-Downloader.Win32.Small.zgf
Trojan-Downloader.Win32.Tibs.agk
Trojan-Downloader.Win32.VB.bbl
Trojan-Downloader.Win32.VB.bsa
Trojan-Downloader.Win32.VB.em
Trojan-Downloader.Win32.Zlob.ahr
Trojan-Downloader.Win32.Zlob.gen
Trojan-Downloader.Win32.Zlob.hvg
Trojan-Downloader.Win32.Zlob.sh
Trojan-Dropper.Win32.Agent.bxm
Trojan-Dropper.Win32.Agent.cre
Trojan-Dropper.Win32.Agent.dgo
Trojan-Dropper.Win32.Agent.vot
Trojan-Dropper.Win32.Small.apl
Trojan-GameThief.Win32.OnLineGames.rzzo
Trojan-GameThief.Win32.OnLineGames.shhv
Trojan-GameThief.Win32.OnLineGames.shig
Trojan-GameThief.Win32.OnLineGames.sjx
Trojan-GameThief.Win32.OnLineGames.smnv
Trojan-GameThief.Win32.OnLineGames.sngv
Trojan-GameThief.Win32.OnLineGames.snry
Trojan-GameThief.Win32.OnLineGames.snxy
Trojan-GameThief.Win32.OnLineGames.snzy
Trojan-GameThief.Win32.OnLineGames.sofb
Trojan-GameThief.Win32.OnLineGames.spgv
Trojan-PSW.Win32.Agent.jzg
Trojan-PSW.Win32.Magania.ctr
Trojan-PSW.Win32.OnLineGames.acx
Trojan-PSW.Win32.OnLineGames.asac
Trojan-PSW.Win32.OnLineGames.fdw
Trojan-PSW.Win32.OnLineGames.fyn
Trojan-PSW.Win32.OnLineGames.nby
Trojan-PSW.Win32.OnLineGames.ncs
Trojan-PSW.Win32.OnLineGames.pbp
Trojan-PSW.Win32.OnLineGames.pry
Trojan-PSW.Win32.OnLineGames.pzl
Trojan-PSW.Win32.OnLineGames.rhu
Trojan-PSW.Win32.OnLineGames.rie
Trojan-PSW.Win32.OnLineGames.tkp
Trojan-PSW.Win32.OnLineGames.wev
Trojan-PSW.Win32.OnLineGames.wt
Trojan-PSW.Win32.QQPass.agb
Trojan-Proxy.Win32.Agent
Trojan-Proxy.Win32.Small.sr
Trojan-Spy.HTML.Bankfraud.sv
Trojan-Spy.Win32.Agent.asf
Trojan-Spy.Win32.Delf.axi
Trojan-Spy.Win32.Delf.chx
Trojan-Spy.Win32.FtpSend.b
Trojan-Spy.Win32.Goldun.aoz
Trojan-Spy.Win32.RealSpy.a
Trojan.DOS.ControlDuSockets.a
Trojan.IRC.KarmaHotel.dr
Trojan.Java.ClassLoader.ao
Trojan.Java.ClassLoader.ap
Trojan.Java.ClassLoader.as
Trojan.VBS.Starter.a
Trojan.Win32.Agent.abt
Trojan.Win32.Agent.bpf
Trojan.Win32.Agent.cyt
Trojan.Win32.Agent.dfv
Trojan.Win32.Agent.ez
Trojan.Win32.Agent.ph
Trojan.Win32.Agent.rzv
Trojan.Win32.Agent.tpj
Trojan.Win32.Agent.ygk
Trojan.Win32.Agent.zre
Trojan.Win32.BHO.abo
Trojan.Win32.Bizten.gen
Trojan.Win32.DNSChanger.czu
Trojan.Win32.Dialer.bgu
Trojan.Win32.Dialer.bzn
Trojan.Win32.Dialer.cos
Trojan.Win32.Dialer.gen
Trojan.Win32.Dialer.if
Trojan.Win32.Inject.ege
Trojan.Win32.Inject.zz
Trojan.Win32.KillFiles.ie
Trojan.Win32.KillProc.p
Trojan.Win32.Midgare.gra
Trojan.Win32.Monder.gen
Trojan.Win32.Obfuscated.pqm
Trojan.Win32.Pakes.bwy
Trojan.Win32.Pakes.ccm
Trojan.Win32.Pakes.jym
Trojan.Win32.Pakes.jyw
Trojan.Win32.Patched.bi
Trojan.Win32.Qhost.aj
Trojan.Win32.Qhost.khi
Trojan.Win32.Qhost.kin
Trojan.Win32.StartPage.ail
Trojan.Win32.StartPage.bma
Trojan.Win32.StartPage.ob
Trojan.Win32.Tiny.e
Trojan.Win32.VB.aol
Trojan.Win32.VB.aqt
Trojan.Win32.Vapsup.kfq
Trojan.Win32.Zapchast.h
Trojan.WinREG.AutoRun.a
Trojan.WinREG.AutoRun.d
TrojanDownloader.Win32.WinTool

Virus.VBS.Small.a
Virus.Win32.Alman.a
Virus.Win32.Alman.b
Virus.Win32.AutoRun.aho
Virus.Win32.Hidrag
Virus.Win32.Parite-based

Worm.Win32.AutoRun.bmz
Worm.Win32.AutoRun.bno
Worm.Win32.AutoRun.bnq
Worm.Win32.AutoRun.clb
Worm.Win32.AutoRun.csj
Worm.Win32.AutoRun.dmh
Worm.Win32.AutoRun.gen
Worm.Win32.AutoRun.k
Worm.Win32.AutoRun.lnf
Worm.Win32.AutoRun.lpf
Worm.Win32.Feebs.gen
Worm.Win32.Perlovga.a
Worm.Win32.RJump.a
Worm.Win32.VB.ck

Malware Detection Top 20 』参照

 

0 コメント »

この記事にはまだコメントがついていません。

この記事へのコメント RSS | TrackBack URI

コメントをどうぞ

XHTML ( You can use these tags): <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> .