偽セキュリティ・ソフトの活発化 58
ストーリー by yoosee
定評がある物だけを使いましょう 部門より
定評がある物だけを使いましょう 部門より
Ogo曰く、"日経ITproの記事によると、スパイウエア対策ソフトやウイルス対策ソフトに見せかけたスパイウエアが活発化してきているらしい。
少し前にも同じような内容の警告記事が出ていたばかり。
偽セキュリティ・ソフトというわけではないが、以前から一部でスパイウェア判定される CnsMin.dll (但し明白な有害性は無いとされている) を利用する Jword をプリインストールして出荷しているパソコンメーカーも多い。
タレコミ氏は、この手の情報、特に具体的アプリ名を少しでも多く知っておきたいものだと思いますが、皆さんはどんな例を知っていますか?"
firefox.exeというトロイがありましたとさ (スコア:5, 参考になる)
乗り換えで、PCの初期設定をすることになっていて、動作プロセスを
チェックしたらfirefox.exeの名前があるので、なんでこんな初心者のPCで
と不審に思って調べると、agobot系のトロイの木馬でした。
時期的には2004年12月に感染したようですが、登場したのは8月頃らしく。
ちなみに他にもウィルスうじゃうじゃでした。
c:\windows\prefetch にpifファイル作って、c:\windows\system32に
ウィルス本体が置かれてました。でもって、レジストリに登録してあって
起動時に実行されるみたいな感じで。
JWORD はやだなぁ (スコア:4, 参考になる)
最近は JWORD 側からの指導が徹底しているのか、インストール時にだけ尋ねてくるようになっていますね。それでもやっぱり気持ち悪いものです。何が気持ち悪いかって、一時各社のアンチウィルスソフトにスパイウェアの危険性ありと検出されていたのに、JWORD側からの働きかけのせいかいつの間にか検出されなくなったこと。 Windows Defender Beta 2 [microsoft.com] では検出してくれるようですが、まだベータ版のせいかたまに MsMpEng.exe が CPU 時間を食い散らかすことがあって、切ってます。たのむぞ Microsoft。さすがに Microsoft くらいになると JWORD から文句言われてもびくともしないのかな?
あ、JWORD って名指しして書いてますけど、正確にはCnsMin.dllが嫌です。
屍体メモ [windy.cx]
Re:JWORD はやだなぁ (スコア:5, 参考になる)
次のソフトウェアで検出されるのについては対策が
されているようです。(つまり、検出できません)
- Spybot Search and Destroy(日本語版)
- ウィルスバスター
- PestPatrol
また、アンインストール方法 [jword.jp]は
公開されていますので、ここに書いてある方法で
消すことは出来るようです。
検索窓の与え方は頼みもしないのに土足で侵入してくる
感じで好きになれませんが、やっていることは昔の
Yahoo!と似たようなものですね。そういう意味では、
『日の丸検索エンジン [nikkei.co.jp]』は既にあった
ともいえるかもしれませんが...
Re:JWORD はやだなぁ (スコア:0)
チトマテ。 そのDLL日本製ぢゃない。
Re:JWORD はやだなぁ (スコア:0)
しかも「JWordを更新する」「次回から自動更新する」「今回は更新しない」の三択。正直ホントうざいっす。
アンインストール方法もちゃんとあるのですね
# 会社貸与のマシンにプリインストールされてるので、アンインストールしていいものか迷っているAC。
Re:JWORD はやだなぁ (スコア:4, 興味深い)
Webサービスにくっついてくるのが不満です。
そのソフトやサービスに必要なプラグインなのであれば導入は
躊躇ないですが、関係がないものは入れたくないですよね。
まあ、フリーソフトの作者さんとしてはこれで少しでも収入が
あればいいと思うのでしょうけれども、そういうところにつけこむ
形のサービスは好きにはなれません。
それにそもそも便利だとも思えませんしね。
Re:JWORD はやだなぁ (スコア:5, 興味深い)
特に掲示板サービスなどにくっついている奴が非常に不快。
サービスとは何の関係もないのに毎回ポップアップを開く。
で、そのポップアップも一見IEのウィンドウのように見せかけて、実はクリックしただけでインストールを始めようとする仕組み。
どう見ても、「操作ミスを誘ってでもインストールさせたい」という意図で設置されている。
誰かさんじゃないが、「違法でなければ何をしてもいい」という姿勢。
最初に遭遇したときの第一印象が非常に悪かったので、それ以来「反JWord派」です。
IEの制限つきサイトにJWORD関連サイトを指定して防ぐのはもちろん、知人がJWordプレインストールのメーカー機を買ってサポートを頼まれたときは真っ先に外してやります。
もちろん、購入者の了解は取ってますが、大方の人は
「googleあればいらないよね」と言っています。
というわけで、スパイウェアかどうかを別にしてもJWord大嫌いです。
疑われるような手法でインストールベースを増やそうとしていたのは事実ですから、
悪い印象を残しても自業自得です。
Re:JWORD はやだなぁ (スコア:2, おもしろおかしい)
Re:JWORD はやだなぁ (スコア:1, 興味深い)
ですから「CnsMin.dllが有害ではない」とアンチウイルスベンダを脅して言わせたところで、
JWORD自体が有害ということに変わりありません。
JWORDってなに? (スコア:0)
……はっ!もしかすると世にも珍しい純粋スパイウェアなのか!そうなのか!
Re:JWORD はやだなぁ (スコア:0)
#手でやると面倒だからバッチファイルとかで。
Re:JWORD はやだなぁ (スコア:0)
4回もアドウェアインストール承諾項目が出てきて、しかも毎回画面構成が違う。
HackerJapanでも扱っていました (スコア:3, 参考になる)
検証の結果, どれも実際の検出能力はほぼ皆無だそうです.
最近は日本語でポップアップをだす奴も増えてきてるようで,
実家からも何度か(入れるべきかという)相談を受けてた覚えがあります.
今後も被害が増えそうですね.
#警察の方からきましたがwinnyの削除はお済みですか?
www.mozilla.orgと間違えて…… (スコア:3, 参考になる)
対策ソフトを勧められました(ポップアップブロックが働いていれば問題ありませんが)。
Google先生に聞いたら結構この手の間違いはあるようで、でも直接アドレスバーに
打つような人が引っかかるようなものかとも思いました。
Re:www.mozilla.orgと間違えて…… (スコア:1, 興味深い)
>> そして貴方の個人情報を違うコンピュータに伝送される恐れがあります。
セキュリティミッス(笑)
でもあまり詳しくない人は、この画面見たらたぶん驚くよなぁ…
Re:www.mozilla.orgと間違えて…… (スコア:1)
ここの日本語は露骨に怪しいので、日本人は特に対象ってわけじゃなくて、提供元が多言語化したサービスだから勝手に日本語になっちゃってるだけなんでしょうね。
しかしこういうのって、偶に見る分には楽しいですね。
嘘は言ってないけど勘違いは是非にしてくださいって文になってるとこや、無駄にユーザに選択肢を与えてたり、パソコンの情報を意味も無く表示してみせて、暗にユーザの不安を煽ってるとことか。
それらしい単語を無理して詰め込んでるとこも。
こういうのって一見下らないけど、効果はちゃんとありそうじゃないですか。
多分、それなりの試行錯誤の成果なわけで、いろいろと興味深いです。
自分は引っかからないという悪趣味な優越感に浸るという側面もあるんですけど、詐欺の類いが利用してる手法に馴染んどくのは、悪い事じゃ無い気がします。
技術的にも、IPアドレスから都市名まで求めてたりして、不動産や出前のサイトでも見習ってみればいいのにと思ってみたり。
IEポップアップの制御はやっぱり回避されてるなーとか。
Re:www.mozilla.orgと間違えて…… (スコア:0)
Re:www.mozilla.orgと間違えて…… (スコア:0)
最初に出てこないと何かマズいのか?
普通は検索結果の中からそれっぽいのを探すと思うが。
どうしても最初に出てこないと嫌だというなら、
「公式」とか「オフィシャル」を検索語に入れればいんじゃね。
# 俺は結果的にたどり着ければいいと思うから、オフィシャルサイトに
# リンクを張っている個人blogなんかを見つけたら、それはそれで解決と考える。
Re:www.mozilla.orgと間違えて…… (スコア:0)
結局はSSLの証明書でも見ろ、って事?
金山毒覇・金山詞霸 (スコア:2, 興味深い)
と思って探しても「金山詞霸」がスパイっぽいという記事 [hatena.ne.jp]しか見つかりませんでした。
あれー記憶違いだったかなあ。
--- Ikko 澤田一光
Re:金山毒覇・金山詞霸 (スコア:5, 興味深い)
該当するのはキングソフトの翻訳ソフト、金山詞霸の方です。
昨年12月にバージョンアップしましたがこの仕様に変更はありませんでした。このパッチを適用した利用者の端末の幾つかで、利用者の操作ミスによってパーソナルファイヤーウォールの通過を許可してしまっていたことで、大学内の情報センターから複数の学部に対して
「ポート5000を利用して、特定の外部と通信しようとしている。ダウンロードしたソフトウェアについて正しい使用をしているか」という調査依頼が再度来ました。
金山詞霸は中国国内で販売されている、外国語を中国語に翻訳するためのソフトウェアであるため、海外からの情報流入、とりわけインターネットに神経を尖らせている中国政府なら、どのような文章を翻訳しているか監視していても不思議なことではないと思います。
Re:金山毒覇・金山詞霸 (スコア:0)
特定アジアが絡む話なら、「張本人です」と配慮してくれないと。
それはそうと、Error safe [errorsafe.com](特にIEでのアクセス注意)というのがありますね。
(迷惑だが)面白いのは、ダイアログのしつこさ。
プロセスごとに異なる権限で (スコア:2, 興味深い)
翻って今度はファイルシステムの中をのぞいてみると、いったい何の目的で、何というアプリケーションが作成したのかがさっぱり分からないファイルがわんさかあります。誰がいつ作ったんだよ、俺こんなファイル作った覚えないよ、というファイルがたくさん。ええ、たまにC:\のルートにもあったりします。
アプリケーション(あるいはアプリケーション群)ごとに異なる権限で動いてくれたらすっきりするのに、と思うことありません?たとえばAdobeのソフトはAdobeっていうユーザの権限で基本的に動いてくれって。で、自分はAdobeのソフトからのアクセスを許したいフォルダだけACLで許可するからさ、という感じで。
あ、別にAdobeって名前は例として出しただけで、とりあえず今までのところはAdobeのソフトをインストールして予期しないところに予期しないファイルをばらまかれたりしたことはないです、念のため。
屍体メモ [windy.cx]
Re:プロセスごとに異なる権限で (スコア:4, 参考になる)
Re:プロセスごとに異なる権限で (スコア:1, 参考になる)
Sysinternalsのソフトウェアは大変良いものが多く私も使っているソフトがいくつかありますが、 プロセスの列挙や調査と言ったら、日本ではProcessWalker [so-net.ne.jp]やDriverWalker [so-net.ne.jp]の方が有名だと勝手に思っていたんですが・・・
と思って調べてみたらProcessWalkerは署名のチェックには対応してなかったです。
こういう動作でるなら (スコア:2, 参考になる)
Jwordは、十分スパイウェアだと思いますが・・・。
Re:こういう動作でるなら (スコア:0)
単にWindows Updateを阻害するような動きをしてるだけじゃない。
Re:こういう動作でるなら (スコア:1)
>>情報を取られる
確か検索した際の文字を取られるんでないでしたっけか。
あとは、インストールする際に発生する
課金に関する情報っすねえ。
一個インストールすると10円貰えますし。
Re:こういう動作でるなら (スコア:1, 参考になる)
JWord撲滅派サイトに書いてる言い分とか読みましたけど、いつまでも古い情報が根拠になってたり、こじつけに近い形でスパイウェア認定してたりと、寧ろ騒ぎ立ててる側の人の方が痛い感じでした。
ポップアップウザイとか勝手にインストールに至っては、JWord云々ではなく、それを提供してたサイトやソフトの作り手側の良識の問題ですし。
JWord入れて使いましたが、撲滅派の人が言うほど使えない印象は無いですね。
アドレスバーから検索する際の選択肢が一つ増えた程度な感じですけどね。
JWordに登録されてなくても、普通に検索エンジンでの結果も出ますし。
特別利用価値があるのか、と聞かれると?ですが、使う人の好みの問題な気がしますしね。
中にはJWordが一番合ってる人もいるかもしれませんし。
んで、フリーソフトにJWordバンドルして配ってますが、バンドルしてること自体にクレーム付けて来る人もいますね。
撲滅運動してる本人は正しい事やってるつもりになってるんだろうけど、そういうクレームって書き方にも拠りますが、概ねアレな人が書いてきてるので「じゃぁJWord外そうか」ではなく「じゃぁソフト公開すんの止めるわ、なんかウザイのいるし」ってやる気一気になくさせてくれるような感じのばかりです。
どうして「使ってやってるんだから俺の気に入らない事すんな」って感じの人が多いんでしょうね。
JWord嫌いならインストールしなきゃ良いだけだと思うんですが・・・
#色々ウザそうなのでAC
Re:こういう動作でるなら (スコア:1)
>>Windowsを使ってるのは矛盾してると思うんですけどねぇ・・・
ぬーすまん。orz
まあ、ついでにlinuxとかZetaOSとかOSASKとか
色々浮気してます。
Windowsはゲームが好きなのでプレイする為に。(笑
>>こじつけに近い形でスパイウェア認定してたり
>>フリーソフトにJWordバンドルして配ってますが
ハンドルで書くには度胸いるのですが、
パケットスニファー等で解析すると
あんまり大した情報は送ってないですよ。(汗
暗号化もしてませんし。
課金システムは特定のURLにアクセスするだけです。
多分高橋名人が居れば10億円とか平気で儲けられますよ。
アレで何故詐欺が出ないのか謎なシステムです。
注;不味かったら消してください。
>>ポップアップウザイとか勝手にインストールに至っては、
>>JWord云々ではなく、それを提供してたサイトやソフトの
>>作り手側の良識の問題ですし。
JWordはスパイウエア 2 寄生虫の防御方法 [inets.jp]
hostsとかに書き込めば良いしねえ。
>>どうして「使ってやってるんだから俺の気に入らない事すんな」って感じの人が多いんでしょうね。
うむ・・・・。叩きだしたら切り無いしな・・・・。
Jwordを運営してるGMOは、InterQ関係等の詐欺とかで
恨み持ってる人結構多いからじゃないでしょうか。
結構あくどい事してる事で有名なんで。
犯罪組織には荷担したくないんですよね。
JWord(日本語キーワード) - “アドレスバーから日本語で簡単アクセス” [jword.jp]
ウマー!アリ地獄interQ詐欺商法(V4) [2ch.net]
Re:こういう動作でるなら (スコア:0)
そんなの黙殺だよ。
前にシェアウェア関連のストーリーで、利用者が増えないようにシェアウェア化してるって人がいたけど、似たような使い方ができる。readmeも読まないようなユーザーは、JWordでも踏んで(すずめの涙だけど)経済的な貢献をしてくださいってこと。
正直JWordはウザいと思うし、自分が使うパソコンには入れたくないけどね。
#同じくAC
ついに (スコア:1)
これからはインストールする前に、複数のウイルススキャンとかで、
確認しないと危ないですね。
もちろん、Symantec [symantec.com]・VirusBuster [trendmicro.co.jp]とかのOnline検索を活用して。
とくに、新しく出てきた無料ソフトとかには注意しないと。
Re:ついに (スコア:0)
とくに、新しく出てきたオンラインウイルス検索とかには注意しないと。
Re:ついに (スコア:0)
今まで日本語運営のサイトがなかったということではないでしょうか?
※2つ上の記事:「VirusBuster」じゃなくて「ウイルスバスター」ですね。
MarketScore (スコア:1)
CnsMinはJWordが入ってたんでわかるんですが、MarketScoreはどこから・・・
#MicrosoftとMarketScore
Re:MarketScore (スコア:0)
メーカーが勝手に入れるInternet Explorerのツールバーの類は、どんなに便利だろうが信用できねぇ…。
JWORDの会社 (スコア:1)
納得。
デーモン閣下 (スコア:1, 参考になる)
WhenUなるアプリが一緒にインストールされて。
トロイが出てきますた;
Re:デーモン閣下 (スコア:2, 参考になる)
という記事が、バージョンアップされた時に出ていました。
インストール時にアドウェアを入れるかどうかのチェックボック
スがあったはずですので、表示をよく読まずに入れてしまったのが
敗因かと。
上記の記事にADW_WHENUSRCH.Cに関するリンクがありますが、現
在の状態でも参考になるかどうかは不明。
どっち? (スコア:1)
スパイウェア入りの製品を示せば良いのか、、、
とりあえず、前者だと、
UnSpyPC (Symantec [symantec.com] , F-Secure [f-secure.com])
とか、後者だと、
Vocal Cancel [srad.jp]
とか?
uxi
タレコミ子は (スコア:0)
本題と全然関係ないじゃん。
Re:タレコミ子は (スコア:1)
投稿ネタと関連性が感じられませんし。
どーせ付け加えるなら、V3.comの転送URLサービスを利用してるサイトにアクセスすると、偽セキュリティソフトのポップアップが出るので注意!、とか有用な情報付け加えといて欲しいものです。
大昔にV3.comの転送サービス申し込んで使ってたけど、自分で転送URL踏まないので、サービスの中身が変わってしまってる現状に気がついてないサイト管理者とか大勢いると思うのですが。
V3.comの場合、転送設定変えたり利用自体を止めたりするのに管理画面にアクセスしようとしても何故か管理画面へのログイン画面が表示されないようです。(転送自体は生きてる。)
これ、どうやら日本から(というか他国から?)のアクセスは拒否しているようで、海外串経由でアクセスしたらログイン出来た、との報告もあるようです。
WinFixerとか確認されてるようですので、i.am, go.to, come.to, hello.to とかのV3.com提供な転送URLには気をつけましょうね。
定評がある物だけを使いましょう部門 (スコア:0)
Re:日米の「泥棒」を退治 北朝鮮HPにゲーム登場 (スコア:2, おもしろおかしい)
Re:スパイウエアの例 (スコア:0)
プライバシ情報では無いということなのでは。
いや気持ち悪いというのは同意しますが。
Re:スパイウエアの例 (スコア:0)