スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

マルウェアTorrentクライアントに続き、マルウェア入り解凍ソフト『WinZix』が登場

WinZixはマルウェアでいっぱい前回のエントリでも考えたマルウェアTorrentクライアント問題だけれども、その配布元が新たに『WinZix』なるユーティリティを利用して、ユーザにPCにマルウェアをもぐりこませようとしているらしいよ、というお話。まんま、WinZipをもじったものなのだろう。その手口としては、zixという圧縮形式のファイルをBitTorrentを介して配布し、その解凍のためにはこの『WinZix』をインストールするべし、というテキストを同梱しておくと。それを読んだユーザが、解凍するためにWinZixをインストールすると・・・マルウェアが埋め込まれる、といった寸法。以前に紹介した3wPlayerとほぼ同じやり口だ。WinnyやShareでも、解凍パスワードをかけて、パスワードが知りたければ、サイトに訪問して!などという捏造ファイルが流れているが、実際には何も入っていないので、あしからず。ただただ、そのファイルを流した人のためだけに利用されるというオチが待っています。

原典:TorrentFreak
原題:uTorrent and WinZip New Targets of BitTorrent Malware
著者:enigmax
日付:August 07, 2007
URL:http://torrentfreak.com/utorrent-and-winzip-new-targets-of-bittorrent-malware/

uTorrentやAzureusといった最良のTorrentクライアントは無料で、何の首紐もつけられずに提供されている。しかし、ある会社は、初心者ユーザを騙し、ダメクライアントや、ダメメディアプレイヤー、ダメWinZipライクなソフトウェアをインストールさせることで家kね儲けをしている。我々は、彼らや、彼らのバッドウェアを暴露し、それらをブロックする方法を紹介しよう。

全ての最良のBitTorrentクライアント(たとえばuTorrent)は無料である。それらはインストールされる際に、余計なもの、たとえば広告や腹立たしいポップアップ、スパイウェアといったものを我々のPCにインストールすることはない。

しかし、『無料の」 ソフトウェアであることを謳いつつ(他のTorrentクライアントと同様に)、それと同時にあなたがまったくもってのぞまいそれら余分なものをインストールさせる会社が存在する。我々はこの、マルウェアソフトをインストールするBitTorrentクライアント(たとえば Torrent101BitRollTorrentQGetTorrent )を定期的にレポートしてきた。これらは現在、オンラインで利用されているバッドクライアントの一角に過ぎない。

Wakenetというスウェーデンの企業がその事業の背後にいることを掴むまでに、それほどの苦労は必要なかった。この会社、以前には、多くのスパイウェアサイトで利用されたAnti-Leech Pulginというツールを開発したことでもニュースとなった。

Wakenetは、そのuvTorrent.comと呼ばれるドメインを保有している(現在は、Cash4Downloadsというサイトとして利用されている)-これは、初心者に公式『uTorrent』クライアントサイトを混同させるためのもの、と推測することは容易なことである。また、彼らには新たな(フェイク)圧縮ユーティリティ、『WinZix』もある。これはWinZipと混同させるためのものであることは明らかだろう。不運なダウンローダーは、あるファイルをBitTorrentからダウンロードする。そしてすぐに、そのファイルを利用するためには、WinZixで『解凍』する必要があることを知る。そうしてWinZixをダウンロードすることで、ホストPCにマルウェアをぶち込むことになる。

我々の調査で、マルウェア満載のクライアント、メディアプレイヤー、圧縮ユーティリティ、それらの配布をサポートするその他のサイトは、主に2つのサーバで運営されていることがわかった。

IP: 69.72.144.122

1. netpumper.com (there's even a link to this from Wakenet's homepage )
2. bitgrabber.com
3. bitroll.com
4. c4dl.com
5. cash4downloads.com
6. download.play3w.com
7. get-torrent.com
8. playon.play3w.com
9. winzix.com (additional information from Symantec)
10. bitdownload.org
11. divoplayer.com
12. plugindl.com
13. torrent101.com
14. torrentq.com
15. torrentsoftware.org

IP: 207.44.244.86

1. bitroll.com
2. c4dl.com
3. cash4downloads.com (Click here for removal instructions)
4. download.netpumper.com
5. Uvtorrent.com
6. playon.play3w.com
7. wakenet.se (WakeNet's own homepage is on the same server)
8. bitsofporn.com
9. domplayer.com
10. gamingtorrent.com
11. kitplayer.com
12. torrentmusic.org
13. torrentgamers.com
14. Torrentspeeder.com (different server currently)

我々は、全ての人に上記にリストされたサイトに近づかないことをお勧めする。ダウンロードにはuTorrentかAzureusを使おう。そして、もし利用するために、いつものメディアプレイヤーやWinRAR以外のものを要求するファイルをダウンロードしたら、用心してかかった方がいいだろう。ダウンロードしようとしているTorrentのコメントをチェックする、というのはよいことだろう。

もうちょっと冒険好きの読者向けに上記のマルウェアびリストだけではなく、その他の数多くのソースによる活動をブロックするWindows HOSTSファイルが利用可能である。MVPSの優れたガイドをレコメンドしよう、『Hostsファイルで望ましくないパラサイトをブロックする( Blocking Unwanted Parasites with a Hosts File )』

シマンテックの警告の日本語版はこちら。このWinZixの件について、BitCometのフォーラムでもスレッドが立てられている(といっても単発質問だけど)。

まぁ、簡単に言えば、このファイル(.zixファイル)を解凍したければ、この解凍ソフトを使うように、というテキストでも同梱してユーザを引っ掛けるというところだろうか。まぁ、ものすごく怪しいのだけれども、メジャーな拡張子でもそれほど知らないような人なら引っかかってしまうのかも。

そういえば、日本でも似たような話があって、WinnyやShareなんかで流通しているzipファイルたrarファイルの中には、解凍のためのパスワードがかけられているものがある。そのようなファイルにはテキストなんかが同梱してあって、パスワードが知りたければどこどこのサイトまで!みたいな感じでサイトに誘導。パスがほしけりゃあーしてこーして、といった感じ。たとえば、アフィリエイトリンク踏ませたり、勧誘プログラムに引き入れたり、ランキングあげさせるためにいろいろさせたり。とまぁ、いろいろさせるだけさせておいて、おそらくは正解のパスワードは得られない、というトラップ。というより、解凍できても捏造ファイルというのがオチ。大概その手のファイルには、著作権を侵害するようなファイルが入っているのだろうが、進んで著作権侵害をするような人間が、自らの素性を隠さないなんてのはまず考えにくい。パスワードがかけられたファイル自体が、捏造ファイルと考えるのが自然だろう。中にはPikaZipなんてパスワード解析ソフトの使用を試みる人もいるみたいだけど、おそらくはそれでも答えが出ないようなパスワードをかけていることだろう。

実際に引っかかったこともないけれど(そういうサイトを運営しているわけでもないですよ)、おそらくWinnyやShareに限らず、ファイル共有ネットワーク内に流れているパス付きの圧縮ファイルは、確実に開けないと思った方がいいだろう。

そう考えると、zixファイルでアーカイブ(実際には圧縮すらしていないようだ)されているファイルも真っ赤な偽物だと思った方がいいだろう。少なくとも、(形態はどうであれ)1企業の戦略であれば、著作権侵害という行為にいたるとも考えにくい。せっかく解凍しても、ファイルが得られるどころか残されるのはアンインストールもできないスパイウェア、アドウェアだけ、という結末が待っているかもしれない。

最後のHOSTSファイルによるブロックってのは、私は試していないので、あしからず。冒険野郎マクガイバーな人向けだと思うので、Windowsが立ち上がりません、というのがちょっとしたトラブル程度に感じられる人以外は試さないほうがいいかも。まぁ、そこまでのもんでもないけど、念のため。

Trackback

Trackback URL
http://peer2peer.blog79.fc2.com/tb.php/639-15505297

Comment

Comment Form
公開設定

プロフィール
heatwave Author
:heatwave

RSS Jamendo twitter tumblr Creative Commons Attribution 2.1 Japan
ブログ内検索
記事リスト
最新の記事
全記事一覧
他所で書いてるブログ

P2Pとかその辺のお話@はてな

アーカイブ

カテゴリー
最近のコメント
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。