ヒトコトヌシ 2010 その1

今回は1記事1ページ(量が増えたため)

・研究室の同僚のPCで「Internet Explorer 8 の検索窓に覆い被さるように白い四角形のポップアップが発生」した.

これは2009/01/06現在の定義のAVG及びAd-awareでは検出されなかった

調べた結果,Yahoo!知恵袋の

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1133703186

の記述通り,C:\Program Files\I-Tori\net-warez\という,なんともアレな名前のフォルダに確かにあった.

上記サイトでは「msconfigでスタートアップ項目の「rwiz」を外せばよい」とあったが,

対策されたらしく,存在しなかった.

なぜかアンインストーラが律儀に付属していて笑ったが,使う気にはならないので,フォルダごと削除した.

「削除できない」とエラーが出るときは,IEを閉じ,タスクマネージャでiexplorer.exeと書いてあるプロセスを全て終了させてから行う.

その後,「スタート」-「ファイル名を指定して実行」-「regedit」でレジストリエディタを起動し,

「ie-ware.dll」で検索してヒットしたレコードを削除したところ,発生しなくなった.

さて,ie-ware.dllだが,検索窓の入力情報を横取りし,

それを元にロシアのショップサイト(今回はhttp://mph.ddl~)での広告を表示させるものだったようだ.

予想される被害は検索の妨害と広告,入力データを横取りして送信していることから,

IDやパスワードなどの回収といったキーロガー的動作もするかもしれない.

副次的な被害は,ロシアのサイトへの回線が細いため,ブラウジングが遅くなること.

構造はプラグイン型で,IEにコードの多くを依存しているためタスクマネージャ上には出てこない.

情報送信もgoogleなどの検索窓のオートコンプリート機能と似たものであると推測される.

同一画面上での送受信や画面変化など非常にweb2.0的なスパイウェアで,

このため対策ソフトでヒットしにくいものと思われる.

今後この手のものは増えそうな気がする.

プラグイン型なので,ユーザーが怪しい動画サイトなどで安易にプラグインの導入を許可しないことが大切.

Flashの更新などは元配布サイトに出かけて行いましょう.