Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

MhtRedir が遺したもの 【前編】

Google の広告

と、見出しつけてみましたが続けられるか自信はないです(汗)。結論として「今最もするべきことは基本的なセキュリティ対策の徹底だぁ」なんてかんじで締められたらいいかなと思ってるんですが(月並みすぎだ...)どうなることやら。

個人的には前半のスパムメールにウイルスメールも含めた大量送信メールの方が切実な問題なんですが、それについては後述するとして後半の「スパイウェア」についての記事を読んで思ったことです。

ここ1年でこのスパイウェアに関する記事は飛躍的に増えたのではないかと思います。感染者が増加したために現実的な脅威として注目度が上がっているからなんですが、私はこれらの記事を読むたびにいつももどかしさを感じてしまうのです。

CoolWebSearch

内容が間違っているとかではなく、ちょっと認識にズレがあるような、あるいは故意にぼかした報道をしてるのかなとか、そうせざるを得ない理由は何なのかとか(まぁ、なんとなくはわかるんですけど..)。う〜ん、はっきり言っちゃうとなぜ 「CoolWebSearch」について書かないのかということです。厳密に見ると書いてるような書いていないような微妙な気もするんですが、えーと固有名詞を出して解説せよというんではなく、その感染手法とかもっとはっきりと伝えてもいいんじゃないかなと。というかこれ抜きだと他のは「お行儀のいい」スパイウェアだけになっちゃったりしませんか?(ん、言いすぎかもね..)

あっと、一部書かれてた記事も過去にはありました。でも、やっぱりちょっともどかしい内容だったかなと。

CoolWebSearchとは、というか「スパイウェア」としてのCoolWebSearchとは

CWShredder(元々の名前はCoolWebShredder)は、世界最悪最強のスパイウェアであるCoolWebSearchを除去するためのアプリケーションです。最初に開発したのはかの有名な若きMerijnです。CoolWebSearchの最大の特徴は、次々と手を変え品を買えて悪質な「新作」を世に送り出していることです。このサイトの「スパイウェア関連」のところで「個別スパイウェア除去 (今流行中のもの」として紹介しているもののかなりの部分がこのCoolWebSearchの変種です。

スパイウェア対策の総本山とも言うべき【アダルトサイト被害対策の部屋】さんからの引用です。って知ってる人には言わずもがなですが、はい、私なぞが語るまでもなく「世界最悪最強」なんですよ、これがまた。

ただ、ここで「定義」の話を始めちゃうと、ややこしくなるのでもっと詳しい方にお任せします。(←逃げ口上とも言う)

私の勝手なイメージを追加してみます。あっと、一応経験に基づくものなんで間違ってないと思います...多分(汗。

感染手段
  1. ActiveXコントロールのダウンロード
  2. ([iframe]タグ利用)いきなりダウンロード画面を出す(開かなければ感染しませんけど)
  3. IEのセキュリティホールを悪用した「受動的攻撃」による不正インストーラの実行
インストールされる不正プログラム(マルウェア)
  1. ダウンローダー
  2. バックドア
  3. IEのセキュリティ設定を変更するプログラム
  4. IEのホーム設定を変更するプログラム
  5. アドウェア
  6. キーロガー
  7. 上記の監視プログラム

【追記】一番肝心の「ブラウザ・ハイジャッカー」が抜けてました。すみません。ま、【3】【4】関連ってことで。

などなどです。これら全部の場合もありますし一部だけのこともあるでしょう。また複数の役割を持つものもあるかと。

と、ずりずりと書いてみましたが実は私はこのCWSに詳しいわけではなかったりします。駆除した経験も3回しかありません(症状は軽かった)。初めて耳にしたのが約1年前に友人が感染した時でした。その際に「エロ」には(私より?)慣れてるはずの友人が何故やられちゃったのか不思議に思いましたがあまり深くは考えてませんでした。

はっきりと記憶にはないのですが、かなり意識するようになったのは昨年4〜5月頃の「Sasser」〜「Download.Ject」などの一連の騒動を報じたセキュリティ関連のニュースをチェックするようになってからだと思います。なもんで、ぶっちゃけ今でも勉強不足かもです。すみません..

リンクのある coolwebsearch.com には危険なスクリプトなどはありませんが、検索結果に怪しいものが多そう(?)なのでご注意下さい。

あっと、こんなニュース出てますね。

スペインのPanda Softwareは,ユーザーが気づかないうちにワームのインストールを手助けするアドウエア「Searchmeup」を検出したことを,米国時間3月2 日に発表した。WindowsのLoadImage APIに存在する「カーソルおよびアイコンのフォーマットの処理」の脆弱性を悪用する「初めての」(同社)アドウエアだという。

なにが「初」なのか紛らわしい書き方してるような...

「Searchmeupの出現は,特にアドウエアやスパイウエアといったマルウエアが進化していることを示している。最初はフリーウエア・アプリケーションのコンポーネントだったアドウエアが,今では,ウイルス作成者ですら使わなかった脆弱性を悪用している」(Panda Software社研究部門ディレクタのLuis Corrons氏)

何を今更な感が大有りなんですけど...

ご存知の方が多いと思いますけどこの「Searchmeup」ってCWSそのまんまです。Technical name: Adware/CWS.Searchmeupってなってます。

先に「定義の話はパス」と書きましたがその理由は、インストールされる不正プログラムを見てもらえれば理解できると思いますが、「最悪のスパイウェア」であると同時に「危険すぎるトロイの木馬」と言っても過言ではないからです。初見の方(スパイウェアを知らない)には後者の印象の方が強いのではないかなとか思ってたりします。

そして、最も問題だと思うのは感染手段【3】の「受動的攻撃」を使って感染を広めるということです。

「受動的攻撃」はCWSに限ったことではないと思われますが、感染量が増えるに従ってCWSが仕込むマルウェアそのものがクローズアップされ、こういった不正な攻撃に対する注意が薄れて来ているのではないかと。全く私的な所感ですが、「脅威」に対しての防御策などの報道が以前と比べ少なくなって来ている、つまりは防御に関する「意識」が低くなりつつあるのではと感じています。

※ここでいう「防御策」とはマルウェア対策ツールの導入という意味ではなくもっと根本的な「不正攻撃」防止の方法についてです。

うーん、なんかダラダラと長くなってきました..。が、また追記します。