読者です 読者をやめる 読者になる 読者になる

ぼちぼち書くブログ

日記とかうまいもんとかパソコンのことをマイペースで記します。高知市に住んでいるので地元の情報も投稿します。

WindowsパソコンでFirefoxとIEが勝手に広告を表示する~ウィルスバスターではアドウェアをブロック出来ない模様

Windowsパソコンで作業していて、どうしても不便なのでフリーウェアをダウンロードしたのですが、どうやらそこにアドウェアがくっついて来たらしく、プログラムの実行を許可した際にアドウェア(ブラウザ・ハイジャッカー)の仕込み行動を許してしまった様です。

アップデートをお勧めします!あなたのバージョンは古いバージョンかもしれません。プラグインのアップデートを今すぐ実施するようお勧めします。詳細については、OKをクリックしてください。

f:id:sasapurin:20160306223307p:plain

一見すると「Javaのバージョンが古いから更新しなさい」と言う印象を受けてしまいますが、こういうのは絶対にOKをクリックしたらダメです。良くない状況を更に悪化させてしまいます。

Firefoxが乗っ取られたのかなと思ってIEも調べたのですが同じ様な症状になります。どうやらアドイン(アドオン)には変なものは追加されていないので、違う手法でブラウザ乗っ取りをやっているっぽいです。

まずは何をやってるか把握してみる

Firefoxの「戻る」ボタンをクリックしていてある事に気付きました。

https://onclickads.net/afu.php?zoneid=xxxxxx

意図的にzoneidはxxxxxxでマスクしておきましたが、https://onclickads.netというサイトにアクセスさせられて、少し待つとアフィリエイト報酬狙いか何かのサイトに飛ばされる挙動を繰り返し確認しました。

f:id:sasapurin:20160306224646j:plain飛ばされる先は、楽天のアフィリエイトが表示されたり、海外のアプリの販売サイトだったりしているので、ブラウザを強制的にアフィリエイトリンクにアクセスさせて報酬狙いをする目的だと思われます。

目的が分かれば後は手法を暴いて対処するまでです。

プロセスを特定する「Process Explorer」

色々な方法があると思いますが、私がよく使う方法はマイクロソフトからシステム系のエンジニア向けに配布されている「Sysinternals」に含まれる「Process Explorer」を使ってプロセスを追いかける手法です。

このソフトウェアにはターゲットウィンドウを狙い撃ち出来るスコープ(照準)ボタンがあります。下図で言うと黄色くマーカーを引いてある丸いアイコンです。これを目的のウィンドウまでドラッグ&ドロップするとプロセスを捕まえてくれます。

f:id:sasapurin:20160306225636p:plain

とりあえずFirefoxが異常動作した時にプロセスを捕まえてみたいと思います。とは言っても今回のケースはFirefoxを起動したら直ぐに問題のサイトに連れて行かれるんですが・・一体どうやってそのURLに誘導しているんだろうか?

とりあえずプロセスの特定と調査をやってみます。

firefoxのプロセスは普通に起動していますが、プロパティを表示させて詳細を確認したところ異常箇所を発見しました。

f:id:sasapurin:20160306230046p:plain

コマンドライン(実行コマンド)でfirefox.exeの後ろに

http://esurf.biz/?ssid=xxxxxx

って感じの引数が付加されています。これは通常には無い箇所なので明らかに異常ですし、このURLは見た記憶があるぞと思って、Firefoxを何度も起動しなおしてみたところ、Firefoxが起動直後にまずこのURLを開き、その後で

https://onclickads.net/afu.php?zoneid=xxxxxx

こちらへ飛ばされて、更にアフィリエイト報酬を発生しそうなサイトに飛ばされる状況が確認できました。

つまり、

  1. Firefoxを開くと「http://esurf.biz」を開かせる
  2. https://onclickads.net/」でアフィリエイトを踏ませて
  3. 広告を設置してあるページに飛ぶ

Webブラウザはこういう動作をさせられていると判断しました。

今回は直ぐに仕組みを解析出来ました。アドウェアが含まれたアプリを実行許可した際にFirefoxとIEの起動コマンドに引数オプションでURLを指定して強制的にページを開く仕組みを書き込まれたのでしょう。

ウィルスバスター(NTT版セキュリティ対策ツールVer8)はこういう行動を怪しいとは判断しない様です。これくらいの手法は定番だと思うのに、使えねーセキュリティソフトだなって感じです。

わかったから言えることですが、かなりショボい手法で小銭を稼ごうというからくりの様ですので、逆に言えば復旧も比較的容易だと思われます。

Firefoxの起動オプション(プロパティ)を確認したら、やっぱり引数としてURLが指定されていました。

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" "http://esurf.biz/?ssid=1457232734&a=1003478&src=sh&uuid=498b03d3-a8d0-40d8-9c8d-86adc2e5a5ab"

Fifefoxの起動方法に問題があるだけなので、ここを編集すれば良さそうです。

f:id:sasapurin:20160306231038p:plain

IEも同様の手法の様です。

"C:\Program Files\Internet Explorer\iexplore.exe" "http://esurf.biz/?ssid=1457232734&a=1003478&src=sh&uuid=498b03d3-a8d0-40d8-9c8d-86adc2e5a5ab"

f:id:sasapurin:20160306231153p:plain

うちの環境の場合は、Google Chromeは大丈夫でした。

f:id:sasapurin:20160306231306p:plain

一応、レジストリにも書き込まれていないかregeditを起動してキーワード検索してみましたが、今回のケースはレジストリを使う方法では無さそうです。urlの一部「esurf.biz」やssid、uuidを検索してレジストリに書き込まれていないか確認しておくと安心出来ると思います。

一応今日の行動について反省して考察しておく

楽をしようと思ってネットからフリーウェアをダウンロードして実行してしまったが為に、結果的に時間をロスしてしまいました。WindowsというOSは隙だらけなので色々な方法を知っている輩にはやりたい放題されてしまいます。受け身ではありますが一つの手法をこうして暴いたのでネットに晒しておいて、誰かの役に立てば幸いかなと思っています。

本来、ウィルスバスターがこういう動作をブロックしてくれるんじゃないかと期待してしまうのですが(ダウンロードしたらスキャンする習慣は身につけています)、アンチウィルスはそこまで期待できるアプリでも無いという事が裏付けられてしまいました。

理屈を言えば、ウィルス対策ソフトはウィルスのパターンと照合して「ウィルスが含まれるファイル」を検出しているに過ぎず、こういう手法や行動(挙動)をチェックしている訳では無い訳です。つまりウィルスでは無いので検出することが出来ません。

補足しておくとウィルスバスターには許可URLと禁止URLを定義出来るので、胡散臭いサイトのURLは禁止URLとして登録しておくと多少は便利です。うっかりサイトにアクセスさせられそうになった時にウィルスバスターがそのアクセスをSTOPします。トレンドマイクロはもっと積極的に悪質なサイトのURL(ブラックリスト)を公開すべきだと思うし自動で取り込む仕組みも有効だと思うんですけどね。有料のくせにホント使えないセキュリティアプリだと思います。

世界中に人に迷惑をかけるなんとも考えずやってのけるクズ野郎は沢山います。そういう輩の手法を学んでおいて、事が起きた時にはその都度調査して対処するしか方法は無さそうです。多くの人が考えて便利な世の中を作っていると思いますが、不便な事を起こすのも人間(クズ)です。残念ながらクズとも共存するしか無いのが世の中なのです。残念ですけどね。