゚+。:.゚ヽ(*´∀`)ノ゚.:。+゚  面白いネットサービス、家庭菜園、宇宙、科学、パソコン、テレビや本、地域の話など
スポンサーサイト
--年--月--日 (--) | 編集 |
スポンサードリンク



上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Hao123、CostMin、Norpalla… 怪しげなマルウェアが山盛りに
2014年06月14日 (土) | 編集 |
スポンサードリンク



今日は、久しぶりにパソコン内のデータを本格的にバックアップしていた。
環境設定やブックマーク、アドレス帳、各種パスワード管理、デバイスドライバ類、自作の画像、動画などをブルーレイディスクへバックアップした。

今回の作業は、データ的にはサイズの小さい軽いデータ類だったので、ディスク容量に余裕がある。
それならと、過去にダウンロードしたインストール済みフリーウェアやツール類も、新しくダウンロードして来て、一斉にバージョンアップしようと考え、ダウンロードを始めた。

海外のツールなどもダウンロードするのだが、「あれ?前はzipで提供だったのに、何故かexeになってる。でも、まあ公式サイトのリンクだし、今まで便利に使ってきたツールなので、多分問題ないだろう」と、ダウンロードしてクリックしてみた。とは言え、exeファイルのクリックなので、少し気になったのだけど。

直後、一斉にアンチウィルスソフトが赤い警告を出して騒ぎ出した。怖くなりインストールを中断。インストーラーがフリーズしたため、タスクマネージャで強制終了した。ふと見ると、タスクバーに見たことも無いアイコンのリンクが。
「hao123」???

調べてみると、baidu(百度)のツールらしい。あの巨大な中国で最大シェアのGoogle的企業だ。Google的と言っても中国企業なので、結構問題があったり批判されることがある企業だ。

今回は趣旨が違うのと面倒なのとで、その辺りは省略するが、この「hao123」、本当に削除が大変だった。まず、プログラムと機能(アプリケーションの追加と削除)を調べてみた。普通に表示が出ていたのでアンインストール。これで安心か?と思ったら、各ブラウザのスタートページが、勝手にBaidu指定のものに書き換えられていた。とりあえず、Firefox、Internet Explorer、Chromeと調べて設定し直した。ブラウザのアドオンも勝手に追加されることがあるそうなので一応調べたが、こちらは特に問題なかった。

これで安心かと思ったら、レジストリに山のようにゴミを残してくれていた。「hao123」や「Baidu」で検索すると、何個も出て来た。6~7個は消したと思う。少し不安だったので、Cドライブでも「hao123」と「Baidu」で検索。こちらもゴミファイルや謎のJavascriptファイルなど、いろいろ出てきた。消しても害が無さそうそうなものを削除。レジストリに1個だけ残してしまったが、これは消しても良いのかわからなかったので、残しておいた。少し気持ち悪いが、Windowsが起動しなくなったら困るので仕方ない。

一応、ウィルススキャンとSpybotをかけてみた。
頻繁にウィルスとマルウェアをチェックしているので、特に出ないだろうと思ったら、今までSpybotで見たこともないマルウェアが6個も出てきた。ううむ。一体何が起こっているのだろうか。とりあえず全部除去。

さて、これで大丈夫か?と思いながら、Internet Explorerのアドオンを確認していたら、見たことも入れたことも聞いたこともない「Norpalla」というアドオンが。そもそもIEは全く使っていないので、こんなアドオンが勝手に入っているのはおかしい。これも先程ダウンロードしたツールのインストール時に、Baiduの「hao123」と一緒にインストールされたのかも知れない。調べてみたら、「悪質な脅威、Norpalla はひどくあなたのコンピューターを台無しにすることができます。(機械翻訳)」とか出てきて怖い。

ひどくあなたのコンピューターを台無しにすることができます。って…。

アドオンの一覧からアドオンを削除すれば良いだけかと思い、右クリックしてみたが、「削除」の項目が出ない。他に削除出来そうなボタンも見当たらなかった。困り果ててタスクマネージャを見ると、何故か「Norpalla」がブラウザの外で活動中。

「知らない所で何やってんだよ!」

即、Norpallaを強制終了した。Windowsのツールとして動いていたということは、どこかにインストールされているのだろう。Cドライブを「Norpalla」で検索してみた。いっぱい出てきた。どうやって消すんだよこれ…と思いながら、プログラムと機能(アプリケーションの追加と削除)を見てみると、普通に表示されていた。迷わずアンインストール。どうせ綺麗に消えてるとは思えなかったので、レジストリや残ったファイルも検索してみた。やっぱり出てきたので削除。

さあ、これでひとあんs…。
「CostMin」って何だよ!これもInternet Explorerのアドオン欄に。
はい、検索。
「CostMin adware --- 有害な損害を実施するためにインターネットを介して拡散される犠牲コンピュータに広告のすべての種類を生成するように設計されてアドウェアプログラムである。(機械翻訳)」

有害な損害を実施するためにか…。実施するなよ。

こは本当にラスボスだった。
Cドライブを検索してみたら、C:\とProgramfiles(x86)に関連ファイルを置いているみたいだった。プログラムと機能(アプリケーションの追加と削除)を見ても表示されなかったため、削除の仕方が全くわからない。うかつに目に見えているフォルダとファイルだけを消してしまうと、いろいろ起動しなくなったり、エラーが出まくったり、何処かにゴミや本体のファイルが残ってしまうかもしれない。一応、レジストリも検索してみると、「CostMin」が沢山出てきた。

本当に困ったのだけど、「Yet Another Cleaner」というツールを使えば良いという情報があったので、ダウンロードしてみた。英語のツールで、これもexeファイルだったので、不安に思いながらインストール。
Windows標準のプログラムと機能(アプリケーションの追加と削除)みたいな、ただのアプリケーション削除ツールかと思っていたら、何故かWindowsのアプリ削除では表示されなかった「CostMin」の文字が!大喜びでアンインストールした。

念の為、Cドライブを検索してみたら、ファイルは消してくれていたけれど、空の「CostMin」フォルダなどは残っていたので手動削除。レジストリも調べたら「CostMin」が残っていたので、こちらも削除。これで綺麗さっぱり消えた。

この「Yet Another Cleaner」というソフト、Adware Cleanupという機能も付いていたので、試してみたら、先ほどSpybotをかけたばかりなのに、新たに何個か検出してくれた。ゴミファイル削除やウィルスチェックも付いていてお得だ。とても気に入った。マルウェアの検出は、Spybotがあれば大丈夫だと思っていたが、不足だったのだな。

それにしても、最初にダウンロードしたツール。お金を稼ぐために、Baidu他の広告ツールを受け入れたのだろうけど、ちょっと酷いな。

かなりウィルスやマルウェアに気を使っている自分でさえこれなのだから、パソコンに詳しくない人のOSは、すごいことになっているかも知れない。日本製のフリーウェアだと、インストール途中で、「一緒にShimeji(BaiduのIME)もインストールしますか?」みたいなチェックボックスがあったりするのだが、海外のツールだと、無断で裏でインストールしまくって、ついでにブラウザやOSの設定も勝手に書き換えるのだから怖い。恐ろしすぎる。

「Norpalla」「CostMin」で調べて見ても、純粋な日本語の情報がほぼ無かった。機械翻訳したページはいくつかあったが。なので、削除の仕方を求めて訪れる人が増えそうな予感。ただ、いつの間にかインストールされていた怪しげなツール達に、気が付くかどうかが問題なのだけど。アンチウィルスソフトやSpybotでも出てこなかったのだから。

※追記:「Yet Another Cleaner」というツール、多機能で軽くてオシャレなデザインだったので気に入ったのだが、何をやっても常駐が解除できないため、アンインストールした。スタートアップに登録されていないので気軽に常駐解除出来ないし、[ファイル名を指定して実行]→[msconfig]→[サービス]から、isafeを無効にしても解除できなかった。これが起動すると、元から入れていたアンチウィルスソフトが起動しなくなる。マルウェア検出は良いとして、あまりアンチウィルスとしての性能は良くないようなので、残念だけど消えてもらった。使う時だけインストールしようと思う。

Amazon.co.jp
楽天トラベル (旅行・宿泊・航空・高速バス・ペットホテル)
ROWA-JAPAN (格安バッテリー:携帯・PDA・PC・カメラ)
上海問屋 (激安 USBメモリ・PCメモリ・接続ケーブル)
楽天ブックス (本・DVD・CD・ゲーム)
ペット用品の Pet館




テーマ:セキュリティ
ジャンル:コンピュータ
楽天トラベル株式会社

価格.com ブロードバンド

コメント
この記事へのコメント
参考になりました(>_<)
2014/07/23(Wed) 10:25 | URL  | 名無しさん #-[ 編集]
コメントを投稿
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。