わぃわぃセキュカテ

使っているセキュリティソフト:KAV for Windows Workstation 6.0

テストしたソフト
KIS、NISをはじめとする日本語対応製品ほぼすべて

レビュー

Kaspersky

良い点
強力なセルフディフェンスにより、無効化されない

悪い点
設定が面倒(最適な設定さえ出せればかなり強い)

評価
ヒューリスティック　良
駆除　優
ファイアウォール　優
自己保護　優
パフォーマンス　良
総合評価　優　素晴らしい保護レベルです

ノートン
良い点
わかりやすく、高機能

悪い点
2011から少し弱くなった(誤検出を避けるために、ヒューリスティックのレベルを下げたため。)

ヒューリスティック　良
駆除　優
ファイアウォール　可
自己保護　良
パフォーマンス　優
総合評価　良　実用に耐えうる保護レベルです

G-Data
良い点
複数セキュリティソフトを入れた状態を安定して作り出せる

悪い点
重い

ヒューリスティック　可
駆除　良
ファイアウォール　不可
自己保護　可
パフォーマンス　不可
総合評価　可　実用には不向きです

マカフィー
良い点
ソフトも自動更新される

悪い点
自己保護が無に等しい

ヒューリスティック　可
駆除　良
ファイアウォール　不可
自己保護　不可
パフォーマンス　可
総合評価　不可　製品として問題があります

F-secure
良い点
エキサイト版はWin/Macどちらでも3台まで月額で使える。

悪い点
特にありません

ヒューリスティック　可
駆除　可
ファイアウォール　不可
自己保護　可
パフォーマンス　良
総合評価　可　実用には不向きです

ウイルスバスター
良い点
特にありません

悪い点
広告が出る

ヒューリスティック　不可
駆除　不可
ファイアウォール　非搭載
自己保護　不可(起動していれば良)
パフォーマンス　相性が激しく、一概に言えない
総合評価　不可　製品として問題があります

Microsoft Security Essentials
良い点
無料で最低限保護してくれる

悪い点
自己保護が無に等しい(MSに報告しても治る気配ゼロ)

ヒューリスティック　可
駆除　可
ファイアウォール　非搭載
自己保護　不可
パフォーマンス　優
総合評価　不可　製品に問題があります

要望があれば他のも出すかもしれない

Hamuichiroさん、ありがとう。とてもわかりやすいです！

駆除能力の評価は確かに大切ですね。巷で検知率が良いとされているソフトも、システムに取り憑いたウイルスを駆除する能力は低かったりしますからね。

ウイルスバスターの評価には笑いました。なかなか手厳しいですね（笑）

気になるのですが、ファイヤーウォールの評価はどのような基準でされたのでしょうか？

ファイアウォールは、TCP View、Wireshark、CurrPortsなどのネットワーク監視・キャプチャソフトを使用して実際にウイルスを実行してみた結果と、
http://www.matousec.com/projects/proactive-security-challenge/results.php
で示されているテストの結果を利用してつけました。
自己保護(製品によってはセルフプロテクションなどと呼ばれる)は、画像のテスト結果(どこで拾ったか忘れました)とウイルスを実行した結果とを合わせています。ウイルスバスターは、終了した状態であればファイルが消せてしまうので、私のテストにおいては不可としています。

皆様、ご無沙汰しております。Hamuichiroさんの各ソフトの評価参考にさせて頂いております。

セキュリティソフトの評価という点において、予防的な意味合いの検出率だけではなく、実際に感染した際の駆除能力やセルフディフェンスは重要ですね。

さてg-dataの最新版が来月7日のリリース予定とのことです。

また使用感を補足させていただきます。

では今日はこの辺で。

ディベロッパー契約している友人からMac OS X LionのGolden Masterを頂いたので入れてみました。
Kaspersky 日本語版を入れたところ、カーネルパニックを引き起こし起動しない事態に…。
Justsystemさん、本家はもう対応しているんですから翻訳お願いしますよ…。

トライデントさん、皆様、お久しぶりです。お元気でしょうか？

僕は暑い青空の下、神奈川の夏を満喫しております。

すっかり日焼けして黒くなりました。放射能の影響か？今年の湘南は例年に比べて海水浴に来る人が少ないような気もいたします。

さてg-data2012ですが・・・、7月７日にバージョンアップしてから少し使用していましたので使用感についてご報告いたします。

家のPCでは・・・、

firefoxのアドオンサイトに接続できないという症状が見られています。これについてはウェブ保護機能を無効にすることで解決できましたが、その後にルーターの設定画面をブラウザから呼び出すことができなくなるという症状も発生しておりましたね。左記についてはファイアウォールや常駐機能の設定を弄ってみましたが解決しませんでした。

結局、2011年度版にダウングレードしました・・・。まだ様子見ですね。

では今日はこの辺で。

皆様、良い夏をお過ごしください。

うわ〜、そんなものがあるとは。全然知りませんでしたよ。情報提供に感謝します！

対応している偽アンチウイルス数も意外に多いですね。

俺としても、ルートキットの駆除、ハイジャックされたレジストリ値はどうなるのか？このあたりが気になりますね。

しかし検体がさっぱり不漁なので、報告例が上がるのを指をくわえて待つしかありません（T T)

こんばんは、トライデントさん。ご返信ありがとうございます。

今日は自宅が大変だったようですね。大丈夫だったでしょうか？？

さてこのツールですが、ちょうど満喫に遊びに来ていましたので試してみました。使用しました検体は古いのですが、think　pointです。

しかしながらthink pointに感染して気づいたのですが、この偽ツールは再起動も阻害されるのでしたね・・・。ネット接続も駄目なことを忘れていました・・・。

というわけでthink pointを一時的に停止して、ツールをダウンロードしました。そして再度、think pointを起動させて実行です。

Fake Antivirus Remover 1.0.0.1015

Pattern version: 100006

Scan mode: Scan All Processes
Time elapsed: 00 minute(s), 54 second(s)

Summary
------------------------------------
Processes Detected: 1
Files Detected: 2
Folders Detected: 0
Registry Keys Detected: 0
Registry Values Detected: 0
Registry Data Detected: 6

Detailed Information
------------------------------------
Processes Detected:
C:\Documents and Settings\IE User\Application Data\hotfix.exe -> Terminate (Quarantined and deleted failed.)

Files Detected:
C:\Documents and Settings\IE User\Desktop\ThinkPoint.lnk -> Delete (Deleted successfully but quarantined failed.)
C:\Documents and Settings\IE User\Start Menu\Programs\ThinkPoint.lnk -> Delete (Deleted successfully but quarantined failed.)

Registry Data Detected:
HKCU\Control Panel\Desktop\WallPaper(Data:C:\WINDOWS\web\wallpaper\Bliss.bmp) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper(Data:C:\WINDOWS\web\wallpaper\Bliss.bmp) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper(Data:C:\WINDOWS\web\wallpaper\Bliss.bmp) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Internet Explorer\Main\Start page(Data:http://www.yahoo.co.jp/) -> Reset to default (Quarantined and deleted successfully.)
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell(Data:C:\Documents and Settings\IE User\Application Data\hotfix.exe) -> Reset to default (Quarantined and deleted successfully.)
HKLM\Software\Microsoft\Internet Explorer\Main\Start page(Data:http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home) -> Reset to default (Quarantined and deleted successfully.)

↑

上記が検出ログです。

残念ながら実行ファイルの削除に失敗しております。

それからツール自体の定義データベースが3/1と古いことも言えますね。

それとまた日本語での使い方を解説しているサイトがありました。

http://antivirus.server-ing.com/2011/04/26/733/


ベータ版ということですから今後どうなっていくかですね。

以上です。

追記です。

トライデントさんにお願いがあります。

お時間があるときにトライデントさんのブログにて、uniblue社の製品の注意喚起をお願い出来ないでしょうか？

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1161372746

↑

Registry Boosterを購入し使用しましたところ、PCが起動しなくなったようです。ある意味、fake av並に性質が悪い・・・。

uniblue社に関しては今に始まったことではありませんが、本当に悪質と思います。

そこでトライデントさんのセキュリティブログにて扱って頂けましたらとかんがえました。

しかしながらトライデントさんはご多忙と思いますので、どうしてもお願いしますというわけではありませんので。

milksizegeneでした。

失礼いたします。

ありゃりゃ、実行ファイルの削除に失敗ですか。正式に公開されたときに期待ですね！

これが本当に使えるツールになれば、初心者の偽セキュリティソフトの駆除はぐっとラクになりますよね。

ただ、ワンクリウェア駆除ツールみたいにお手軽ツールと化して「感染しても駆除できるから大丈夫」という安易な余裕を生み出さないか不安です。

Uniblueの件、了解しました。また記事を書いてアップしますね。今はSecunia PSIの非公式マニュアルの作成にちょっと精を出しております。なかなか日本語されません故。

あと、昔使っていたスカイドライブから大量にテスト用のウイルス（といっても中身は本物）が出てきたんですが、どうでしょう？検体としては古いのでゴミ同然かなとも思っているのですが...。

トライデントさん、こんばんは。ご返信ありがとうございます。

そうですね、このツールを使用してみました感想としてはやはり発展途上かなという印象です。正式版となりmalwarebyteと同様の水準になってくれればFAKEAV駆除として強力な武器となると思います。

ですが確かにトライデントさんが危惧しておられることは僕も賛成です。新しいツールの登場が、安易な発想に向かうことは避けたいものです。あくまで感染しない対策を行うということが重要ですから。

最近の知恵袋のワンクリ駆除の質問は代表的です。どのようなワンクリサイトにアクセスしたのか？駆除ツールがワンクリサイトに対応しているのか？等を確認もぜずに回答しています。

その結果、駆除ツールの使い方を誤ったり、対応していないサイトに使用して駆除が中途半端な状態になったりしていますね。

さらに酷いことには駆除ツールを悪用し、意図的にワンクリサイトを利用しようとする人までいるようです。

さてユニブルーの件、ありがとうございます。トライデントさんのブログにてご紹介して頂ければ、強力な注意喚起となります。本当に感謝いたします。

またSecunia PSIの記事、楽しみにしています。御投稿された際はすぐに拝見させて頂きますので。

それとよろしければテスト用のウイルスも頂けたらと思います。よろしくお願いいたします。

milksizegene

確かに仰るとおり、最近特にワンクリの相談が多い。それに伴う「システムの復元」推奨者も多い。困ったことです。王子はイカさんの掲示板でも活躍されてるのですね。俺にはなかなか知識がなくて、まだまだ勉強中です。よろしくお願いしますよ。

ワンクリについても、勉強できたら、このブログから正しい情報を発信していきたいと考えています。

テストウイルスは、ファイルをもうちょっと整理してアーカイバなどでまとめてから個人的に差し上げたいと思います。もう少々お待ちください。

よい休日をお過ごしくださいませ。

テスト用マルウェアのパッケージをメールにてお送りしましたが、届いたでしょうか？

トライデントさん、こんばんは。

検体のご提供ありがとうございます。先ほどお送りいただきましたメールを確認しました。

迷惑メールに入っていましたので通常のメールボックスに移動したところです。

これからダウンロードしてみたいと思います。

本当にありがとうございました。

あ！それと大魔王様がパスワードの変更に成功されたようで本IDでの御投稿なされておりましたね。

大魔王様の御投稿を拝見してとても考えることが多々ありました。

あっ、届きましたね（笑）

よかったです。5月5日に採取した最新のサンプルもパックしておきましたので、お役に立てるともっといいんですが。

大魔王会長の本気の投稿がありましたね。本当によかったです。彼があのIDで帰ってくれば、カテも「ワーー！」と活気と共に有識回答者も戻ってきそうですね。

しかし、被災地の状況は今も凄惨を極めておりますね。政府も内部で混乱が生じており、100％機能していない。

彼らのふるさとと心の復興に、俺もなにか協力できることが無いかと模索する毎日です。

こんにちは。

対 fake av 新型駆除ツールと言えばですね、G Dataからも出たみたいです。

http://www.gdata.co.jp/news/detail/218

http://blog.livedoor.jp/chaba0326/archives/51890382.html

こいつはSystem Tool系列に有効みたいですね。

後日、Security Shield辺りで検証してみます。

>chaba0326さん

この前のブログへのコメントはお読みになられましたでしょうか？

駆除ツールの情報ありがとうございます。そんなモノが出たなんて、初めて知りましたよ。昨日Windows Recoveryの感染実験をやったので、試せば良かった...。個人的には定義式なのか、NPEのような強力なディテクションでたたみかける方式なのか気になるところです。後者だと、結構使えるツールになる感じがします。

検証レポートお待ちしています。

あ、あとWindows Recoveryウイルスに関する例の問題、多分解決の糸口が見つけられたと思います。また後ほど記事にして投稿させて貰いますね。

知恵袋でもよろしくお願いします。

たまたまこのような画像を見つけたのですが・・・。

http://bbs.kakaku.com/bbs/K0000148256/SortID=13002056/ImageID=915733/

↑

ファイアウォールについては2012年度版も搭載されないとか？！

トレンドマイクロの迷走はどこまでいくのでしょうか…。

ありゃりゃ、あれだけの不満が噴出していたにもかかわらず、2012も前年度と同じ轍を踏むつもりなんでしょうか。

http://pc.nikkeibp.co.jp/article/knowhow/20100722/1026307/

これほどの研究所を有していながら、いっこうにユーザーニーズに応えないトレンドマイクロには失望しましたね。

海外は商品がどれだけニーズに応えられるか、ということを消費者もシビアにチェックしますので、海外だと暴動でも起こる勢いですよ。こんな屑ソフトは。

2012年は、他のソフトがどれほど進化しているかに注目が集まりそうですね。ESETもインターフェースが変わる予感です。

http://malwaretips.com/blogs/2011/03/15/eset-5-preview-screenshots-and-info/

あと、chabaさんが手首を骨折されたそうです。しばらく知恵袋にも投稿できないかも知れませんね。

こんばんは、トライデントさん。

トレンドマイクロのラボの記事を拝見いたしました。すごいですね。かなりの規模の研究所という印象です。

確かに2011年版においてファイアウォールを削除したことへの不満はネット上のいろいろな場所から聞こえています。そのユーザの声を反映させないという姿勢には僕も疑問を感じますね。

2012年版においても早くも先が見えてしまったのかもしれません。

さてセキュリティソフトの次期バージョン、とても楽しみです。各セキュリティベンダーがどのように進化させていくのか注視しています。

さてトライデントさんはこのバックソフトをご存知でしょうか？

国産ソフトのバックアップツールということです。

http://www.ri-ir.co.jp/product/airback/index.html

↑

ベータ版で配布されています。僕も昨日見つけました。

まだ試していないので何とも言えないのですが・・・。

最後にchabaさん、大丈夫でしょうか？ブログも拝見しましたが利き腕のようですね。

しばらく養生でしょうか・・・。

はじめまして。上のウイルスバスター2012の画像をアップした、hamuichiroと申します。
先日、Mac向けの偽セキュリティツールが出たらしいのですが、検体を手に入れた方おられますでしょうか。

私の高校でもウイルスバスターの環境でトロイの木馬に感染しました。屑ソフトというより、進化していないので時代遅れになっている感があります。

こんにちは。

皆様、ご心配ありがとうございます。
一応報告ですが、不幸中の幸いか骨折はしてませんでした。

さてさて、「G Data偽セキュリティソフトクリーナー」ですが、仕組みはどの様なものかが不明ですが、一応テストの結果です。

数日前に捕獲(?)したSecurity Shieldの検体を用いてテストしたのですが、検出できませんでした。少なくとも確実性はありません。
(以下、参考画像として↓)
https://picasaweb.google.com/lh/photo/nPPJbez-sBhw_ImzFXgk754HKDZnJbOst8n0O05raOA?feat=directlink

コレならNPEなどのほうが良さそうです。

chaba0326さん、はじめまして。そして、お疲れ様です。
偽セキュリティソフトは、ダウンロードするたびに違うものが落ちてくるようですので、頻繁に更新されているか、自身で改ざんすると思われます。
パターン依存では厳しいのではないでしょうか。

Yahooのセキュカテは覗いたことがありませんでした。
高度な技術を持った方がたくさんおられる、高レベルなカテですね。

ついでにTrendMicroの方も同検体でテストしたので報告します。(但し、s!ri-urz様のキーで弱体化済み)

ログ↓
##################

Fake Antivirus Remover 1.0.0.1016

Pattern version: 100008

Scan mode: Scan All Processes
Time elapsed: 02 minute(s), 39 second(s)

Summary
------------------------------------
Processes Detected: 2
Files Detected: 1
Folders Detected: 0
Registry Keys Detected: 0
Registry Values Detected: 0
Registry Data Detected: 17

Detailed Information
------------------------------------
Processes Detected:
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe -> Terminate (Quarantined and deleted successfully.)
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -> Terminate (Quarantined and deleted successfully.)

Files Detected:
C:\Documents and Settings\All Users\デスクトップ\COMODO Internet Security.lnk -> Delete (Quarantined and deleted successfully.)

Registry Data Detected:
HKCR\cplfile\shell\cplopen\command\""(Data:rundll32.exe shell32.dll,Control_RunDLL "%1",%*) -> Reset to default (Quarantined and deleted successfully.)
HKCR\jsefile\shell\open\command\""(Data:C:\WINDOWS\System32\WScript.exe "%1" %*) -> Reset to default (Quarantined and deleted successfully.)
HKCR\jsfile\shell\open\command\""(Data:C:\WINDOWS\System32\WScript.exe "%1" %*) -> Reset to default (Quarantined and deleted successfully.)
HKCR\vbefile\shell\open\command\""(Data:C:\WINDOWS\System32\WScript.exe "%1" %*) -> Reset to default (Quarantined and deleted successfully.)
HKCR\vbsfile\shell\open\command\""(Data:C:\WINDOWS\System32\WScript.exe "%1" %*) -> Reset to default (Quarantined and deleted successfully.)
HKCR\wsffile\shell\open\command\""(Data:C:\WINDOWS\System32\WScript.exe "%1" %*) -> Reset to default (Quarantined and deleted successfully.)
HKCR\wshfile\shell\open\command\""(Data:C:\WINDOWS\System32\WScript.exe "%1" %*) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Control Panel\Desktop\WallPaper(Data:C:\WINDOWS\web\wallpaper\草原.bmp) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper(Data:C:\WINDOWS\web\wallpaper\草原.bmp) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper(Data:C:\WINDOWS\web\wallpaper\草原.bmp) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Internet Explorer\Main\Start page(Data:http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden(Data:2) -> Reset to default (Quarantined and deleted successfully.)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt(Data:1) -> Reset to default (Quarantined and deleted successfully.)
HKLM\Software\Microsoft\Internet Explorer\Main\Start page(Data:http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home) -> Reset to default (Quarantined and deleted successfully.)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit(Data:rdpinit.exe) -> Reset to default (Quarantined and deleted successfully.)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\COMODO Internet Security(Data:"C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h) -> Delete (Quarantined and deleted successfully.)
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall(Data:0) -> Reset to default (Quarantined and deleted successfully.)
##################

見ていただければわかると思いますが酷いことになっています。

肝心の偽セキュリティソフトを検出できないどころかWindows関連ファイル、果てにはCOMODO Internet Securityを誤検出しています。

ダメだこりゃ・・・

chabaさん、Hamuichiroさん、こんにちは。Hamuichiroさんは、OKWaveで活動されてる方でしょうか？偽セキュリティに関してOKWaveを検索したところ、同じIDの方を見かけたもので...。ちなみに「ボクはクラッカーコミュニティに専有調査しています。フォレンジックもちょっとできます」って言ってる人とは違いますよね？

知恵袋セキュカテは、楽しいですよ。回答するだけじゃなくて、回答者同士が互いに意見交換しあえる貴重な場です。意見交換を通して、有識者のノウハウも仕入れることができるし、とても勉強になります。このスレッドのchabaさんもmilksizegeneさんも、セキュカテの大切な回答者仲間です。この人達から学ぶことは多いですよ。よかったら、ぜひ参加されてくださいね。

chabaさん、レビューをありがとうございます。やはり、どちらも完成度はまだまだ低いようですね。G-DATAのほうは、時間とともに良くなっていくものと期待していますが、トレンドマイクロの方は...はて？マトモに検体収集も出来ていない会社が、はたして実績をあげられるのか。心配です。

ログみると、壁紙なのかな？まで隔離されてるみたいですね。壁紙まで消されたら大変だァ〜。これじゃまるで「行くも地獄、残るも地獄」ですね。

ところでまた、Security Shieldが流行の兆しを見せていますね。とっくに滅亡したと思ってたのですが...。

Hamuichiroさんは、OKWaveで活動されてる方で
>そうです。しかし、OKWaveは回答者同士の議論が禁止されているため、あまり知識を仕入れることはできません。

>ボクはクラッカーコミュニティに…
この方は、説明と言葉のチョイスがいまいちですが、非常に高いスキルを持っておられます。
現在、私はこのかたに負けないようスキルアップのためにOKWaveでの活動を小休止しています。動画は、とても参考になります。

Yahooは同じIDを取れなかったので、覗くだけですが、実機で動作させて検証されている方が多いようですね。
ぜひ、デバッガを使った解析にも手を出してみてください。OllyDbgというソフトがおすすめです。アンチでバッグが掛かっていてウイルスも、プラグインでほぼ解析できるようになります。

皆様、こんばんは。

hamuichiroさん、はじめまして。僕はmilksizegeneと申します。知恵袋にてセキュリティの勉強をさせていただいているものです。よろしくお願いいたします。

さてchabaさん、トレンドマイクロのツールですが酷いですね・・・。検出が滅茶苦茶です。

やはり未完成なツールですね。

トライデントさん、chabaさん、windows OS名　recoveryの検体をお持ちでしょうか？？

ぜんぜん見つからなく苦戦中です。

Windows (OS名) Recovery・・・

コレ↓ですかね？
http://siri-urz.blogspot.com/2011/05/windows-xp-recovery.html


あいにく検体がありません・・・

最近、どうも不漁なんですよ。

マルウェアの種類は増えているのに・・・

役に立てず申し訳ありません・・・

ミルク王子、俺も頑張ってるんですが、全くです。

某ドメインリストにも、FakeAVのリストは多いんですが、リンク消滅が早いのなんのって。どこにつないでも「サーバーは存在しません」って出てきやがります。

イリーガルなサイトだと、FakeAV Downloaderの混入率が高いですね。結構な頻度でマルウェアが更新されているので、もしかするとそのマルウェア経由でダウンロードできるかもしれません。↓なんか、ほんの一例ですが...。

h*tp://www.keygenguru.com/

この2日間で釣れたのはBestAntivirusだけでした。
これ面白くて、2000やServerでは立ち上がらなくて、XP、Vista、7でそれぞれ表示が変わります。

皆様、こんばんは。

どうも本当に検体がさっぱりです。

セキュリティシールドは捕まえたのですが・・・。

それにしてもwindows recovery・・・。

本当にやっかいですね。

本当に厄介ですよね。Windows7 Recoveryなんて皆さんどこで拾ってくるのか...。トリュフ探しの豚よろしく嗅ぎ回ってますが、いっこうにヒットしません（T T)

そういえば、音楽のトレントファイルをダウンロードしようとしたときに感染した、なんて書き込みを見つけましたから、やはりイリーガルなサイトに潜んでいる確率は高いかもしれませんね。

セキュリティ上の安全面からも、これら違法コピーの類は使用しないよう呼びかけていく必要があるかもしれません。

こんばんは。こちらでは初めまして。
検体収集が難航しているとのことで、少しでもお役にたてればと思い以下URLにアップロード致しました。

ttp://malware.babibubebo.org/files/Windows_XP_Recovery.zip

パスワードは「infected」です。
「Windows XP Recovery」の検体が入っております。

--------
余談です。
日本ではマルウェア検体を共有・研究できるようなコミュニティがなかなか無いですからね。
皆さんのように熱心に研究されている方が居るのに残念なところです。今後何らかの形でそのようなシステム、サイトを公開することも考えてはいますが…

皆様、こんばんは。

ショウヘイさん、検体のご提供をありがとうございました。

ところでこの検体は最近捕捉したものでしょうか？

完全に駆除することが出来ないようでした。

http://www.threatexpert.com/report.aspx?md5=950f564664d2ff5d6f90a8f29533f822

以下はマルウェアバイトのスキャンログです。

alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6682

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

5/26/2011 1:37:23 AM
mbam-log-2011-05-26 (01-37-16).txt

Scan type: Full scan (C:\|)
Objects scanned: 136156
Time elapsed: 9 minute(s), 39 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\documents and settings\IE\Desktop\c2EjVpni.exe (Rogue.FakeHDD) -> No action taken.

↑

削除できましたのが実行ファイル１つだけでした。他に作成されたファイルとレジストリの値は残存いたしました。

"WarnonBadCertRecving"=dword:00000000
"CertificateRevocation"=dword:00000000

↑

1例です。threatexpertの結果を見る限り、この検体ではhidden設定にはならないと考えたのですが実際にhidden状態にはなりませんでした。

その他にsuperantispywareやkaspersky removal tool、NPEも用いるも検出なしでした。

すいません。補足です。


>hamuichiroさんへ

先日、mac用のfake avをお探しというコメントを拝見させて頂きましたので・・・。

ttp://xfs.jp/hWVQ1

macを持っていませんので確認できていないのですが、アップロードさせていただました。よろしければご確認してください。

なおパスワードはショウヘイさんと同じinfectedです。

どうも、こんばんは。
5月1x日に捕獲したと記憶しております。

Exploitによる感染なので再現が難しいですね…
失礼しました。
どうも隠し属性化はアップロードした検体
(MD5:950F564664D2FF5D6F90A8F29533F822)ではなく、
感染時、別に生成された実行ファイルにより行われていました。

「pusk3.exe(MD5:0599E67C1AF7872650F074CFB4DBBEAB)」
その実行ファイルを同梱し、再度アップロード致しました。
こちらを実行することにより、隠し属性化が行われます。

ショウヘイさん、こんばんは。

僕の問いに対するお答えを頂きまして深く感謝いたします。

また僕の返信が遅くなりましたことを深くお詫びいたします。

さて新しくアップロードして頂きました御検体につきまして早速に実験を行いたいと思います。

現在は自分なりにではありますが、このfake av感染による隠し属性化について調べようとしています。

先日もwindows recoveryを用いましていろいろとやっては見たのですが・・・。

先日特に着目してみたものが、

HKCU下のSoftware\Microsoft\Windows\CurrentVersion\Policies\explorer

↑

この部分の値です。バイナリ値を変更したり、値を削除したりと試しましたがやはり変わらず・・・。

初心者の浅知恵ですが、何かfake avによる不正な値が追加されているのではないかと考えたのですが駄目でした。

ショウヘイさん、この隠し属性化されるプロセスはいったいどのようなものなのでしょうか？

milksizegeneさん、こんばんは。
検体の情報ありがとうございます。
報告し忘れていましたが、こちらでも検体を確保することができました。
上げていただいていることは分かっていたのですが、Windowsウイルス解析用のfedora 15のアップグレード作業をしており、報告できなかった次第です。
Mac用のFake AV「Mac Defender」は3種類亜種があります。解析したところ、Windows向けのように対策ソフトを止めたり、ネットワークドライバに干渉したり、自身の終了を邪魔したりということはなく、Cocoaで作られた単なるソフトウェアでした。が、将来的には複雑になることが予想されます。Macにもインターネットセキュリティソフトウェアを導入することを強くおすすめします。
また、少し前にNHKでも取り上げられていましたが、Androidを搭載したスマートフォンもウイルスに感染します。ウイルスのフォーラムを覗くとよく取り上げられています。アドレス帳に登録されている人全員に迷惑をかけますので、こちらにもセキュリティソフトを導入してください。

Appleが偽アンチウイルスソフトの自動駆除アップデートを発表しました。
Macをお使いの方は、ソフトウェアアップデートから取得できます。

失礼しました。こちらこそお返事が遅くなりました。

＞隠し属性化されるプロセスはいったいどのようなもの
Process Monitorで眺めてみると、attrib.exeを呼んでるだけっぽいです。

ご指摘の
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
ですが、参考に以下のサイトをご覧いただくと…
http://www.wa.commufa.jp/~exd/contents/privacy_security/028.html

あの壁紙が変更できなくなったりとかの症状は、ここをいじくられているんですね。

shouheiさん、ご助力本当にありがとうございました。

返信が遅くなりましてすいません。

この隠し属性化するfake av、知恵袋でも多数の相談が寄せられています。

最近、OS名　internet security の2012年度版も流行の兆しを見せているようです。

本当にやっかいです・・・。

こんにちは、ご心配をおかけいたしました。

弟とは連絡がつきまして、今は避難所を出て自宅にいるそうです。避難所は人であふれかえっており、生後半年の赤子がいる弟には環境的にキツイという話です。

とはいえ自宅もキッチンや居間は物が散乱しており、壊滅的な状況で被害の少ない寝室で家族と共に過ごしているとか…。ライフラインも完全に断絶しており、食料等は配給されるものをもらってきているそうです。

せめて生活に必要な物資でも向こうに送りたいのですが、それも叶わず…。本音を言いますと今すぐにでも向こうに行って3人をこちらに避難させたいとも考えてしまいます。

特に震災後というのは治安や衛生状態の悪化等が想定されますから不安になります。

さらに余震が1ヶ月程度は続くことやM7クラスの余震がくる可能性があるとか聞きますと…。

しかしながら命が助かっただけでも本当によかったと思っています。毎日のニュースを見ていますと増加する一方の被災者の方々を考えますと悲しいですが…。

どうか一人でも多くの方が助かることを願っています。

ところで大魔王様ですが…、僕は大魔王様の住んでいる場所を知りません。ですが前に雪が降っていて寒いという話を聞いたことがあります。震災後から大魔王様の御投稿が途絶えていますので心配しております。

元気なお姿を早く確認したいです。

ミルク王子、弟さんが無事でなによりでした。
私も胸をなでおろしています。

ライフラインが復旧するまで日々の生活が大変ですよね。

ただ、阪神淡路大震災では、電気が復旧した後、火災が多数出たんです。

火災は我が家が注意していても、近所から出火して類焼してしまう事があるので怖いですよ。


大魔王会長の事なんですが、会長とはカテデビューした時期がそう変わりがないのです。
trident長官も同じようなものです。

大魔王会長といえばあの怒涛の投稿ですよね。
私は、セキュカテを一番愛している人だと思ってます。
今までなにかとセキュカテを引っ張っていた会長に、
もしものことがあれば・・
命にかかわる出来事なので、どうしても心配になってしまいます。

しばらくして熱い投稿が再開される事を、心より願って
待つ事にします。

こんばんkrellさん。

震災後に大魔王様の姿がお見受け出来なくなり、一切の連絡が途絶えたままで、もしや被災されたのではという考えが脳裏をよぎってしまいます。

krellさんも仰られているように命にかかわることですからどうしても不安になります。1日も早い元気な御投稿を待ち望んでいるのです。

それをあの大阪のカス野郎は平然と大魔王様の名前を語ったあげくに何と書いたと思いますか？？？

＞大魔王です。

ファイルマネージャーとサポート程度の違いです。したがって十分対策になります。

大魔王が今、XPのPCに入れているのはCOMODOとReturnilですね。両方ともフリーで十分なセキュリティを確保できていますよ。なんだか、金かけてセキュリティするのがアホくさくなってきちゃったのですが、カスペルスキーを７とVistaの入っているPCに入れている臆病者です。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

大魔王様が今、どのような状況にいるのかもわからないのに・・・。

ふざけやがって！このカス野郎。

絶対に許さん。

絶対に。

kat中佐。

最近姿がみえません。さびしいですよ。

さて、事件とは何を指しているのですか？

長官、milksizegeneさんご無事で何よりです。＜(-_-)

皆様もご無事なのでしょうか？？？


milksizegeneさん、弟さん心配ですね。

ご無事である事願っております。

何かあったようなので質問しました。
忙しかったのできなかったんです。

そうでしたか。こっちの環境ではインストールすらできなかったんですよ。とほほ....。

すべての環境にインストールできる訳ではなさそうですね。なかなか期待できるソフトだったのに残念ですね。

comodo TM便利ですよ。XP pro./VISTAでは問題ないです。ただし、windows 7ではどうなんでしょうか？そして「カスペルスキー」が相手の場合には、問題発生の予感。avast/panda cloudが相手の場合には、comodo time machineは、問題はないですね。

今、Private Firewall、/comodo firewall、/outpost freeでFake AVの感染実験です。P/firewallは、操作が簡単で、しかし性能は高く、「大穴」ですね。悪党exeの起動をfirewallで簡単にblockできるので優秀なfirewallを使っておれば、Fake AVの駆除は困難ではない。その点でも、ウイルス馬starを推薦しているyasuらは、どう責任をとるのでしょうか？

あきれ果てるのは、avira antivir personalですね。Fake AV感染すると、起動できないのです。avira最強を唱えるyasuっぽい知恵袋さんは沢山おりますけどね。aviraは駄目だ。使い物にならない。

それから自称東京ジャンクギター購入自慢sky2014のMSE。そしてW/Defenderは、攻撃者に研究されてますね。起動できないように工夫されている。

期待していなかたのに「万馬券」は、panda cloudです。これは本当に凄い。Data Protectionを起動してみたら「秒殺」ですよ。Syetem Tool,Windows Optimal Settings系列に対しても、panda cloudは「起動」できるんですよ。そして、あっと今に悪党本体exeを検知して削除してしまう。感染実験の邪魔！！と言えるくらいに元気なんです。「ネットから離脱したスタンドアローン下では、panda cloudは、scanできず、今後の課題であろう」などとyasuっぽい書き込みしたyasuがおりましたが、俺はpanda cloudで感染実験するたびに、そのyasuっぽいコメントを思い出して「爆笑」しておりyasuよ。

　panda cloudに、avastの web shield機能が付けば最高なんですけどね。そういえばpanda cloudというと「誤検知が多い」と書き込む検知率お宅がいますけども、あれは「本当に自分で確認してから」書き込んでいるんですかね？というのも、俺は長くpandaを使用していますけども、pandaが善玉fileを隔離してOSが変調した、という経験が無いのですね。AVキンピラゴボウが「pandaは　間違いが多い」と紹介している書き込みを「又聞き」しているだけ？じゃないのか？と思いますがねぇ～。
　comodo TMは、便利ですよ。特に感染実験には不可欠です。それだけに、条件次第では使えない人がいるというのは、残念です。カスペルスキーが原因かな、という気もしますね。True Image的なtoolを先にインスコしている場合も、問題が発生しているようです。