ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« ココログで記事の最後にGoogle AdSenseを入れるには。 | トップページ | レンタルサーバーとドメイン移転でドキドキ。 »

2005年6月21日 (火)

日韓首脳会談中に韓国製のスパイウェア退治。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

01AH23リンク: @nifty:NEWS@nifty:歴史問題、溝埋まらず…日韓首脳会談(読売新聞).

おりしもこんなニュースが流れる中、「韓国語の変なメッセージが出るようになった」とのことで、以前にもお伺いしたお客さまに呼ばれました。
行ってみて起動してみたら…お~、確かに変なメッセージが。
デスクトップには、文字化けしたアイコン名の、赤十字マークが水色になったようなショートカットアイコンが置いてある。
「こんなの置いた覚えないんですけどねぇ」
スパイウェアの典型的な手口ですね…。

ショートカットのプロパティからチェックすると、ファイル名はCODEZERO.EXE。
でも、検索をかけても、日本語はおろか英語などの欧米圏の情報すら見当たらない。
うーむ、また新手のヤツですか…。

「韓国ドラマのサイトをいろいろ観てたらおかしくなったみたいなんです…」
とおっしゃるのは、お呼びいただいたお客さまで、年配のご婦人。
お伺いした時も、ペ・ヨンジュン主演の「初恋」を観ておられました…。
でもこのドラマ、長いんですよねぇ。確か60話以上あるんですよね。

お客さまにはビデオ鑑賞を続けていただいて(笑)、とりあえず、いつも通りHijackThisを使って起動項目のチェック。

O2 - BHO: SOSBHO Class - {BE7B63B7-6863-4FAC-9D81-FE3E626B1D9B} - C:\PROGRA~1\OUTLOO~1\MSOEEX.DLL

なんかOutlookExpressのフォルダに入ってましたが、ファイルを右クリックしてプロパティをチェックしてみたら、ファイル作成日は今年の5月で、言語は韓国語…。
間違いなく、怪しいファイルです。

O2 - BHO: Bad Site Blocker - {92378C0C-4C11-4F44-8127-256FE2F71319} - C:\PROGRAM FILES\CODEZERO\CZEROEXP.DLL
O4 - HKLM\..\Run: [CodeZero] C:\PROGRAM FILES\CODEZERO\CZIntro.exe

こちらは前述のCODEZERO.EXE関連ファイルですね。
コントロールパネルの「アプリケーションの追加と削除」に、デスクトップの怪しいアイコンと同じ文字化け項目があったので、そちらから削除したところ、消えてなくなりました。

O4 - HKLM\..\Run: [Torang] C:\PROGRAM FILES\TORANG\TORANG.EXE

これも、ファイル名を検索してもまともな情報が出ない。
でも、こちらは6月に入ってからの作成ファイルですし、ソフトのインストールをした覚えもないらしいですし、前回お伺いしたときにインストールしておいたウィルスセキュリティ2005EXのファイヤーウォールのアプリケーションリストに入ってきていたので、これは不正ファイルと見て間違いないでしょう。

O4 - HKLM\..\Run: [ikeeper] IKEEPER.EXE

なんかこれはよくわかりませんが、これも検索しても情報が出ません。
ウィルスセキュリティ2005EXのファイヤーウォールの履歴とか、ファイル作成日から考えて、同じ時期のものなので、こちらも不正ファイルですね。

O4 - HKLM\..\Run: [meminf] C:\WINDOWS\SYSTEM\meminf.exe

こちらも同様に、検索しても情報がない。
ファイルのプロパティで確認したら、言語が韓国語なので、怪しいファイルと見てほぼ間違いないです。
ちなみに、アンインストール用ファイル「memUnInstall.exe」が同じフォルダ内にありましたので、そちらを実行したら消えてくれました。

O4 - HKLM\..\Run: [winSp] C:\WINDOWS\winSp.exe
O4 - HKLM\..\Run: [wine756] C:\WINDOWS\SYSTEM\wine756.exe

これらもファイル名で検索しても出てきませんでした。
2つ目のは、おそらくファイル名を変更するタイプなのでしょうが…1つ目のwinSpって紛らわしいなぁ。

O4 - HKLM\..\Run: [MSMSYSDIR] C:\WINDOWS\system32\msysdir.exe

こちらはHijackThisで外す前に、ウィルスセキュリティ2005EXでスキャンをかけたら、AdClickerとして検出して削除してくれました。

O16 - DPF: {4E5315D6-D50D-42AC-B38F-E3568E73C1CE} (hiportal Control) - http://www.hiportal.com/activex/TorangInstall.cab
O16 - DPF: {ED62F2A7-7B57-4455-A68D-D9D34E572590} (IntenetKeeper Control) - http://boardc.sayclub.com/files/fx/blob1/sayclub/as-/asx/b7/12./ikeeper2.cab
O16 - DPF: {D63FAB25-1142-4958-A6C8-6879B52FD126} (Viewstart Control) - http://blogfile.paran.com/BLOG_167195/200504/1113635233_viewstart.cab

ここらへんは見るからに怪しいですね…。
などとHijackThisのログを眺めてチェックを進めていると、ウィルスセキュリティ2005EXのプログラムの1つが、突如エラーを起こして強制終了。
かなり嫌な動きをしてくれますねぇ…。

アンインストーラーやウィルススキャンで外れたもの以外は、HijackThisで起動項目から外し、再起動後にファイルを削除。
これできれいになったか、と思いきや…。
「この症状が出始めてから、プリンタが印刷してくれないことがあるんです…」
うーむ(-_-;)
確かに、適当なホームページを印刷してみたら、何度やっても印刷しない。
再起動して、残っているジョブの再印刷をするか聞いてくるので、そこでようやく印刷できる状態。
とりあえず、プリンタのドライバをアンインストールして、もう一度インストールしてみた。
今度は問題なし。印刷できない現象は改善できました。
これで様子を見てもらうことにした。

それにしても、改めて「ウィルス対策ソフトだけでは防ぎきれない」という事実を突きつけられた格好です。
スパイウェアの制作者は、ウィルスの制作者と決定的に違うところがあります。

ウィルス制作者:マイクロソフト発表のセキュリティホールのニュースなどから、それを突くためのソフト(ウィルス)を趣味で作るだけ。
スパイウェア制作者:マイクロソフトが未発見のセキュリティホールを突いて侵入するソフトを仕事で作る。セキュリティホールをふさがれたら、即座に改善して、新たなセキュリティホールを突くように改良(?)する。

そりゃ仕事なら、即座に改善しますよね…。
セキュリティ対策ソフトは、被害が発見されて、初めて対策を練ることができるので、対策がパターンファイルの更新としてリリースされるまでの時間差で感染してしまったら、これはどうしようもない。
セキュリティ対策ソフトが100%ブロックしてくれるわけではない、というのはこの辺の理由である。
だからといって、セキュリティ対策ソフトが役立たずなのかというと、そういうわけではなく、今回のトラブルでも、外部に勝手にアクセスするスパイウェアを、ファイヤーウォールが発見して、ダイアログメッセージは出していたのだ。
でも、お客さんは何のことかわからず、つい「通信を許可」というボタンを押してしまったらしい。
それでどれぐらいの被害が出たかは、今のところ情報がないので予想もつきませんが…。
とりあえず、「ファイヤーウォールのメッセージが出たら、よくわからないものは通信を拒否」ということでお願いしておきました。

まだ「素人でも何も考えずに使える」ようには、なかなかいかないものです…。

ということで、ウィルスセキュリティのご購入はこちら。
ウィルス対策万全!ウィルスセキュリティ2005EX即答サポート付
ウィルス対策万全!ウィルスセキュリティ2005EX即答サポート付

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年06月21日(火) ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット |

« ココログで記事の最後にGoogle AdSenseを入れるには。 | トップページ | レンタルサーバーとドメイン移転でドキドキ。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/4645237/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 日韓首脳会談中に韓国製のスパイウェア退治。:

» スパイウェア トラックバック セキュリティ技術・知識図鑑
スパイウェアスパイウェア (Spyware) とは、厳密に定義すると、ユーザに十分な説明を行わず、若しくは承諾なしにユーザに関する情報を集めて記録し、更には集めた情報を予め設定された特定の(情報収集者である)企業や団体・個人等に送信するソフトウェアのことである。Wikipediaより引用...... 続きを読む

受信: 2005/07/01 12:17:21

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« ココログで記事の最後にGoogle AdSenseを入れるには。 | トップページ | レンタルサーバーとドメイン移転でドキドキ。 »