Spyware

ネット&ツール
https://kaze88.hatenablog.jp/entry/2005/08/09/142300


http://arena.nikkeibp.co.jp/tokushu/gen/20050629/112654/index10.shtml

■悪さをするのはプログラム

 では、検出されたスパイウエアは一体どんなものなのだろうか。今回はSpybotのほかにAd-Awareなど7種類の対策ソフトでも検査してみた。一連の実験でよく検出されたものをまとめたのが下の表だ。

●今回の実験でスパイウエアとして検出されたものの例
スパイウエアとして検出さた主なプログラム
名前 典型的な活動例
Alexa
ツールバーをインストールし、ユーザーの閲覧、検索状況に関する情報を収集するプログラム
Begin2search
一般にアドウエアと呼ばれるプログラム。Internet Explorerに検索バー「Begin2Search」を作成する
CnsMin
シーエヌエスミンなどと呼ぶ。Internet Explorerの使用中、ポップアップ広告を作成する。使用許諾契約に合意して入れられる場合が多い
CoolWebSearch
例えば、Internet ExplorerのアドレスバーにhttpやwwwではじまらないURLを入力すると「activexupdate.com」などほかのサイトを表示する
Dashbar(Claria)
いわゆるブラウザーハイジャッカー。ホームページ設定や検索ページの設定を勝手に変更したり、ユーザーが見たWebページの情報を収集する
DyFuCA
ポップアップ広告を表示する。このプログラムの作成者が管理するWebサイトをブラウザー画面に表示したりする
Ezula(HotText)
アドウエア。フリーソフトなどに付属。ユーザーが閲覧するWebページのリンクを改変して、Webページに自身の広告主へのリンクを挿入する
Gator
Gainとしても検出される。アドウエア。例えばユーザーが閲覧したWebを調査。インターネットに接続中にポップアップ広告を表示する
Hotbar
ブラウザーとメールの個人設定用ユーティリティ。ユーザーが閲覧したWebを調査。Internet Explorer使用中にポップアップ広告を表示する
IPSentry
Webのフォームに入力されたアドレスを監視する。監視されたアドレスは遠隔地に送られてデータベースに記録される。複数バージョンあり
NetOptimizer
サーバーに接続して広告をダウンロード・表示する(DyFuca Active Alert)。ユーザーのWeb閲覧傾向を集め、第三者に送る場合がある
PartySluts
EXEXNOT(エグゼクスノット)などとも呼ぶ。ダイアルアップ接続のネットワーク設定を勝手に行う「ダイヤラー」プログラム
Rapidblaster
Windowsの起動時に実行され、インターネット接続中に定期的に広告を表示する。ダイヤラーなどのプログラムをダウンロードする
Scom
エスコムと呼ぶ。「ダイヤラー」プログラム。アダルトサイトに接続し、電話料金を発生させる活動を含む
Tooncom
システムに常駐し、数種のアダルトサイトにアクセスを試みる。通知なしにファイルをダウンロード。Internet Explorerの検索、スタートページを特定のサイトに設定し、URLをお気に入りに追加する
スパイウエアとして検出されたCookieの作成元の一例(ほかにも多数)
Cookieは、ブラウザーとWebサイト間でユーザー識別などの情報をやり取りするためのファイル
doubleclick.net imrworldwide.com valueclick.ne.jp
gator.com overture.com webtrendslive.com

 検出されるスパイウエアは大きく2種類に分かれる。一つはプログラムだ。拡張子にexeなどが付いた単体のプログラムとしてや、Internet ExplorerIE)上で動作するActiveXと呼ばれるプログラム部品としてインストールされる。そしてもう一つはCookie。63ページで述べた通り、サイト側がユーザーの識別などに使う情報ファイルだ。

 このうちスパイウエアやアドウエア、ハイジャッカー、ダイヤラーなど、その動作が問題になるのはプログラムである。つまり、スパイウエア対策ソフトの検出結果で注意すべきはプログラムなのだ。

 となると次の課題は、検出されたスパイプログラムがどんな工作活動をするかだ。これはスパイウエア対策ソフトメーカーのサイトで確認するのが手っ取り早い。情報が日本語で分かりやすいのはシマンテックトレンドマイクロマカフィーなどのサイト。そこで「ウイルス名での検索」や「広義の脅威の検索」などを実行すればいい。ただし、すべてのスパイウエアが載っているわけではなく、スパイウエアの名前の付け方もまちまちだ。表に挙げたスパイプログラムもそれらで調べたが、ユーザー情報を収集するものはごく一部、それもWebの閲覧情報程度だったのでひと安心という次第。

●スパイウエアの情報を検索できるサイト
シマンテック http://www.symantec.com/region/jp/avcenter/expanded_threats/
トレンドマイクロ http://www.trendmicro.co.jp/vinfo/
ネクステッジ
テクノロジー http://www.shareedge.com/spywareguide/
マカフィー http://www.mcafeesecurity.com/japan/security/vlibrary.asp

 ちなみに、無償のSpybotでは「DSO Exploit」がよく検出される。削除しても、再び検出表示されることがあるようだが、これはIEセキュリティホールのこと。これが発見されたら、まずはWindows Updateを実行し、このホールを修正しよう。

 なお、昨年1年間でシマンテックに届出があったスパイウエア/アドウエアの上位10種はすべてアドウエア。今回の実験結果とは随分異なるが参考にしてほしい。

シマンテックに届け出のあったスパイウエア/アドウエア上位10
Adware.InstantAccess 512
Adware.Gator 403
Adware.lefeats 270
Adware.NetOptimizer 223
Adware.BetterInternet 203
Adware.SyncroAd 145
Adware.MainSearch 114
Adware.Ncase 95
Adware.lstbar 93
Adware.Cydoor 83
▲ 2004年1~12月に「シマンテックセキュリティレスポンス」に届け出があったスパイウエアとアドウエアの上位10種。両者の比率は1対4というだけあって、上位10種はすべてアドウエア(Adware)である