2011.4.20:アンドロイド スマートフォンに忍び寄る、ウィルス・マルウェアの脅威、Dr.Web社「Android.Spyの新たな亜種が登場」として公表

2010年の秋頃から、「Android Spy」の呼称で広く知られるようになった、Androidを搭載したスマートフォンなどを狙ったマルウェア(悪意のあるプログラム)ですが、この度、Dr.Web社によりその亜種や派生種の検知・発見・対応が公表されました。

今回発見されたものは「Android.Spy.54」とされ、これまでの原種がトロイの木馬行為として端末に侵入後密かにSMSスパムを送信するのに加え、スマートフォン上のブラウザのブックマークに特定のWebアドレスを追加する模様。 なお、この新しいマルウェアは中国から来た可能性が高いことも報じています。

マルウェア「Android Spy」について

Android Spyの活動を解析した結果、その主な目的はスマートフォンのID情報の収集、サーチエンジンフォーム内に特定のサーチパラメータを設定してリンクを開くことが判明しています。

Android Spyは、いったんスマートフォンなどにダウンロード感染され侵入を果たすと、通信やショートメッセージの情報の読み取り、変更、SMSの送信、位置の特定に加えて、Android Spy自身の自動起動をも可能にするそうです。
スマートフォンの電源を入れるとダウンロードされる亜種も存在が確認されています。

なお、Android.Spy.54は中国のインターネットリソースwww.nduoa.com(Android向けのアプリケーションを提供するWebサイト)上で発見されています。

今後は、特に信頼のおけるサイトからのみアプリ導入するなどに、アンドロイド ユーザーにはその自由度と等価にリスクをコントロールすることが求められています。

情報の詳細は、株式会社Doctor Web Pacific(日本)の以下のページでご確認ください。

「Android.Spyの新たな亜種が登場」

http://news.drweb.co.jp/show/?i=403&lng=ja&c=2

偽セキュリティソフト「Security Defender」に注意!手動除去方法解説

現在、悪意のあるサイトや電子メールで「Security Defender(セキュリティ ディフェンダー)」なるマルウェア(悪意のあるプログラム・ソフト)が猛威をふるいつつあります。
そのふるまいは、以前から多くある同類のインチキウィルス対策ソフト・セキュリティソフトと同様、してもいないウィルス・スパイウェアスキャンでパソコン上にいかにも深刻なウィルス感染や情報漏洩があると促して(実際にはないにもかかわらず)、完全な除去機能を実行するためのアップグレード費用・料金として、クレジットカード情報による送金、または、クレジットカード情報・個人情報を盗むというモノ。

このインチキセキュリティソフトは、ウィルス対策ソフトやマルウェア・スパイウェア除去ソフトにより、安全に駆除が可能ですが、更新状況など場合によっては対応していないことも。
その場合、手動で除去する必要があります。

マルウェア:「Security Defender(セキュリティ ディフェンダー)」手動除去手順

  1. 「Security Defender」は、Windowsパソコンの起動時に、自動起動ソフトのひとつとして実行されるので、それを防止するためにセーフモードでの起動が必要です。
    セーフモードは、Windowsパソコンを最低限の機能で起動させるWindowsに用意された起動モードのひとつです。
    セーフモードでWindowsを起動する方法は、パソコンの電源を投入後、利用しているパソコンメーカーのロゴ画面が消える手前から、すぐキーボードのF8キーをゆっくり連打し続けて下さい。
    ※本来はタイミングがありますが、わからないかたむけの説明です。
    押すことで、起動しないように、セーフモードにコンピュータを再起動し、選択のいずれかセーフモードまたはセーフモードとネットワーク(インターネット接続が必要な場合)。 また、タスクマネージャを実行し、セキュリティDefenderのプロセスを終了します。
  2. デスクトップが表示されてパソコンの動作が落ち着いてきたら、画面左下のWindowsマークのスタートボタンからメニューを開き、「ファイル名を指定して実行」を選び、そこに” regedit ”と入力してください。
    すると、レジストリーエディター(レジストリエディタ)という、Windowsの重要な設定ファイルを編集するプログラムが起動してきます。
  3. ※)注意
    レジストリーは、Windowsの安定稼働に非常に重要な役割を持っています。
    レジストリー操作や編集作業自体は、たいした難しさはありませんが、Windowsのファイル操作や設定・調整などの経験があまりない場合は、プロサポートなどへの依頼がベターです。
  4. レジストリエディタで、以下のエントリー(記述)を削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56a10a26-dc02-40f1-a4da-8fa92d06b357} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “56a10a26-dc02-40f3-a4da-8fa92d06b357_33″ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “56a10a26-dc02-40f3-a4da-8fa92d06b357_33″ HKEY_CLASSES_ROOT\CLSID\{56a10a26-dc02-40f1-a4da-8fa92d06b357}

  5. つぎに、「Security Defender」のDLL(ダイナミックライブラリ)の登録を手動で解除します。
    管理者権限でコマンドプロンプトを開き、” regsvr ”コマンドを実行します。

    regsvr32 /u “%Temp%\[RANDOM CHARACTERS].dll”
    regsvr32 /u “C:\Program Files\Security Defender\Security Defender.dll”

    最後に「Security Defender」がパソコン内に組み込んだプログラム・データなどを手動で削除・除去します。
    ※状況・環境によっては、ファイル名・ディレクトリ名(フォルダ名)が変わってきますので、適宜読み替えるか、ファイル名で検索してください。

    c:\Program Files\Security Defender
    c:\Program Files\Security Defender\Security Defender.dll %UserProfile%\Start Menu\Programs\Startup\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.lnk
    c:\Documents and Settings\All Users\Start Menu\Programs\Startup\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.lnk
    c:\Documents and Settings\All Users\Application Data\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.avi
    c:\Documents and Settings\All Users\Application Data\56a10a26-dc02-40f3-a4da-8fa92d06b357_.mkv
    c:\Documents and Settings\All Users\Application Data\56a10a26-dc02-40f3-a4da-8fa92d06b357_33.ico
    %Temp%\[RANDOM CHARACTERS].dll
    %UserProfile%\Desktop\Security Defender.lnk 
    %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Defender.lnk

以上で完了です。
おつかれさまでした^^

 

Intego社による、MacOSXを対象としたスパイウェアリスト報告

現在判明しているOSX/OpinionSpyスパイウェアをインストールするアプリケーションのリスト

2010年6月1日に、Intego社は、複数のウェブサイトで無料配布されているいくつかのMac用アプリケーションおよびスクリーンセーバ によってインストールされる、Mac OSX/OpinionSpyスパイウェアを発見したと発表しました。このスパイウェアは、ファイルをスキャンしたりユーザ の操作を記録するなど多くの怪しい処理を行うだけでなく、その情報をリモートのサーバへ送り、感染したMacにバックドアを開きます。

その際のセキュリティ・メモに書いた通り、こうしたアプリケーションにスパイウェア自体が含まれているわけではなく、アプリケーションの インストール中にスパイウェアがダウンロードされてくるのです。該当するいくつかのアプリケーションが提示する情報には、“マーケットリサーチ”用のプロ グラムを同時にインストールされることにユーザが同意しなければならないと誤解させる文章が含まれている場合があります。しかし、すべてのアプリケーショ ンで明示されているわけではありません。また、このような警告もないまま、開発者のウェブサイトから直接配布されているプログラムもあります。

スパイウェアは、PremierOpinionという名前のアプリケーションとしてインストールされます。

これまでに見つかった、このスパイウェアをインストールするスクリーンセーバとアプリケーションのリストを以下に掲載しておきます。

スクリーンセーバ:これらのすべてのスクリーンセーバは、7art-screensaversという名前の会社が開発し、そのウェブサイト、http://7art-screensavers.com、で提供されています。

  • Secret Land ScreenSaver v.2.8
  • Color Therapy Clock ScreenSaver v.2.8
  • 7art Foliage Clock ScreenSaver v.2.8
  • Nature Harmony Clock ScreenSaver v.2.8
  • Fiesta Clock ScreenSaver v.2.8
  • Fractal Sun Clock ScreenSaver v.2.8
  • Full Moon Clock ScreenSaver v.2.8
  • Sky Flight Clock ScreenSaver v.2.8
  • Sunny Bubbles Clock ScreenSaver v.2.9
  • Everlasting Flowering Clock ScreenSaver v.2.8
  • Magic Forest Clock ScreenSaver v.2.8
  • Freezelight Clock ScreenSaver v.2.9
  • Precious Stone Clock ScreenSaver v.2.8
  • Silver Snow Clock ScreenSaver v.2.8
  • Water Color Clock ScreenSaver v.2.8
  • Love Dance Clock ScreenSaver v.2.8
  • Galaxy Rhythm Clock ScreenSaver v.2.8
  • 7art Eternal Love Clock ScreenSaver v.2.8
  • Fire Element Clock ScreenSaver v.2.8
  • Water Element Clock ScreenSaver v.2.8
  • Emerald Clock ScreenSaver v.2.8
  • Radiating Clock ScreenSaver v.2.8
  • Rocket Clock ScreenSaver v.2.8
  • Serenity Clock ScreenSaver v.2.8
  • Gravity Free Clock ScreenSaver v.2.8
  • Crystal Clock ScreenSaver v.2.6
  • One World Clock ScreenSaver v.2.8
  • Sky Watch ScreenSaver v.2.8
  • Lighthouse Clock ScreenSaver v.2.8

アプリケーション:今のところ、Integoがスパイウェアを発見したアプリケーションは、1つだけです:

  • MishInc FLV To Mp3, http://www.mishinc.info/mac_flv_to_mp3.php

Integoでは、このスパイウェアをインストールするアプリケーションについて今後も調査を続けます。このスパイウェアに関する続報は、次のMac Security Blogに随時掲載いたします:http://blog.intego.com

 

Integoについて

Integoは、Macintosh用の消費者向けインターネット・セキュリティおよびプライバシー管理ソフトウェアを開発および販売しています。

Integoは、インターネットの危険からユーザおよびそのMacを保護する最も広範なソフト ウェアを提供します。Integoの多国語対応したソフトウェアおよびサポートは、Mac関連誌の賞を何度となく受賞し、60以上の国で100万人を超え るユーザを保護しています。Integoは、米国、フランス、および日本に拠点を置いています。


http://www.intego.com/jp/news/preliminary-list-of-applications-that-install-osx-opinionspy-spyware.asp