More from: ウィルス

さっそく「言い訳」を公表

BaiduIME及びSimejiがユーザーが入力した内容をサーバーに送信していたという件に関してバイドゥが公式見解を発表した。
それによるとSimejiに関しては「バージョンアップ時にバグが混入し、その結果ログ情報を「送信しない」に設定していても送信されるようになってしまっていた。」という。
BaiduIMEに関しては「ユーザーの入力情報を弊社サーバに送る場合は、ログ情報の送信に事前に許諾をいただいており、許諾が得られないユーザーについてはログ情報の取得を行っておりません」と問題は無いという見解。
Simejiに関してはバグを修正し12/26中に新しいバージョンの提供を行うと発表されたが、BaiduIMEに関してはそのような発表は無い。

BaiduIMEには設定項目の中にクラウド変換を使わないように設定できる項目があるが、そのように設定しても変換内容がサーバーに送られることが確認されている。
この件に関しては公式発表はされていない模様。

まぁ、早速「言い訳」を言い出したけど、誰がこんな都合の良い「言い訳」を信用するんだか。

←クリックしてくれると嬉しいです。

「まるでキーロガー」と言うより「キーロガーそのもの」だ。

中国の百度(Baidu)が提供しているWindows向けIME(2バイト文字入力変換ソフト:要は日本語入力用ソフト)がユーザーの入力した文字を特定のサーバーに送信していたと報道されている。

日本のユーザーがPCでメールを書いたり、WEBブラウザで掲示板に書き込んだり、通信販売を利用したり、文書を作成したりする場合には日本語での入力が必要になるが、元々アメリカ生まれのPCは数字とアルファベットと特定の記号の入力しか出来ない。
そのために日本語を入力するためにはローマ字もしくはかなで入力してから漢字やかなに変換する必要があり、それを行っているソフトがIMEだ。
ということはBaiduIMEを使っている人は入力した文字の殆どが特定のサーバーに送られていたということになる。
その中には個人情報が大量に含まれている可能性が高いし、もしかするとクレジットカードの番号や有効期限も含まれている可能性もある。

このように入力した情報を密かに収集する(そして場合によってはサーバーに送る)ソフトは「キーロガー」と呼ばれウィルス扱いされているが、今回の騒動の元となったBaisuIMEはまさにこの「キーロガー」だ。
しかもプライバシーポリシーには
「ユーザーが入力した情報については、原則として「バイドゥ サービス利用規約」の中の「プライバシーポリシー」に沿って取り扱われます。また、クレジットカード番号やパスワードなどの信用情報、または住所や電話番号などの個人情報については、ログ情報として収集しない設定となっています。」
と書かれているが、送信しない設定になっていても実際には送信されていることが実証されている。

個人的に便利そうなIMEなので試してみようかと思った時期もあったけど、使わないでいて正解だったな。
はっ!実はMS-IMEも同じことをしていたりして・・・

ちなみにWindows用のBaiduIMEだけでなく、Andoroid用の仮名漢字変換ソフトであるSimejiも同様だったとのこと。
私のスマホに入っているのはiWnnで良かったよ(汗)

←クリックしてくれると嬉しいです。

ウィルス騒ぎ・・・・・・

職場でウィルス騒ぎがあった。
そこでユーザー全員に私物のスマホやデジカメ・USBメモリ等を職場のPCに接続しないよう、また仕事用のそれらの機器を自宅のPCに接続しないようにお達しが出た。
ところがお偉いさんがその通達を見てとんちんかんなことを言い出した・・・・・・・
「携帯(電話)をパソコンに繋いだら中身を抜き取られるのか?」
とか、それこそ「訳が判らないよ」、、、、、、
この偉いさんはコンピュータ等に関してはいつも
「俺は判らない!」
の一点張りの人で、コンピュータに求めるのは必要なアウトプットだけという立場なので毎回説明するのに苦労している。
ま、それでも駄目と言われたことを敢えてする人では無いので理解出来なくても悪さはしないと思うけど、けど、けど、、、、、思いたい(爆)。

幸い今回は深刻な感染ではなかったので事なきを得ているけど、こんなことで大丈夫なのか???

←クリックしてくれると嬉しいです。

純正ソフトなのに(笑)

昨日からのウィルス騒ぎの中でIBM製のPCもチェックしているけど、IBM純正のソフトの一部がウィルスとして認識されている(笑)。
今までに少なくとも2台から検出されている(検出されたファイルは別々)。
おそらくは誤検出なのだろうが、検出された時はちょっとびっくりしたな。

←クリックしてくれると嬉しいです。

←クリックしてくれると嬉しいです。

ウィルス騒ぎ

昨夜PCがトロイの木馬に感染したとの連絡を受けてから、今日の午後までそれに掛かりっきりだった(いや、フルスキャン中にこのブログを更新する時間はとれたけど(汗))。
結果的に誤検出の疑いが強いので、もしそうなら被害が無くて助かるけど、公式に情報が出てこないとなんか不安だなぁ。

←クリックしてくれると嬉しいです。

AVGにPhotoshopの”ImageReady.exe”をトロイと判定させない方法

昨日からAVG(2011と2012)がPhotoshop6.0の実行ファイルの一つである”ImageReady.exe”等をトロイの木馬として検出してしまうが、これを検出しなくする方法が一応ある。
単に常駐シールドの例外に設定するだけなのだが、そうした場合に実際にウィルスに感染しても検出されないのでリスクもある。
AVG2012での設定方法は下記の通り。
・AVGユーザーインタフェースを起動し、メニューの「ツール」から「高度な設定」を選択する。
・左ペインの「常駐シールド」左の”+”をクリックしツリーを展開する。
・そうすると「例外」の項目が出てくるのでそれをクリック。
・右ペインの右にある「パスを追加」のボタンを押し、Photoshop6.0がインストールされているフォルダ(標準では”C:\Program Files\adobe\Photoshop6.0″)を選択して「OK」をクリック。
・もしくは「ファイルを追加」ボタンを押して”ImageReady.exe”を選択(標準では上記のフォルダ内にインストールされている)して「OK」をクリック。
・例外に追加されたら右下の「OK」ボタンを押す。
と、これで完了だが、「ファイルを追加」の場合はさらにインストールフォルダの下の”\Samples\Droplets\ImageReady Droplets”フォルダ内の各ファイルを指定する必要がある。
ただし、AVGはこのフォルダ内のファイルも全てトロイの木馬として検出して隔離してしまうことがあるので、既にファイルが無くなっているかもしれない。
その場合はファイルの復元が必要になるので、下記の手順で復元させる。
・AVGユーザーインタフェースの「履歴」メニューから「ウィルス隔離」をクリック。
・左ペインの「ウィルス隔離」を選択。
・右ペインに隔離されたファイルが表示されるので、インストールフォルダの下の”\Samples\Droplets\ImageReady Droplets”内のファイルを選択し「復元」ボタンを押すと元の場所にファイルが復元される。
以上の手順でPhotoshop6.0は元のように使えるようになると思う(少なくとも私が試したところではきちんと動作するようになった)。
ただ、最初にも書いたがこの設定はAVGにウィルス検出をさせなくするので、設定対象としたフォルダまたはファイルが実際に感染した場合でも検出されないのでリスクはある。
そこら辺を考慮した上で実行するかしないかを判断していただきたい。

←クリックしてくれると嬉しいです。

FakeAlertが流行しているのか?

今日になって突然3/6付けの記事「FakeAlert」へのアクセスが増えた。
メールでの流行が再発したらしく、知り合いのところにも感染したPCから沢山メールが来ていたらしい。
感染した場合ウィルス本体をAVG等で駆除するのは簡単だが、感染するとレジストリが改変されてしまい、Windowsの動作がおかしくなり、元に戻すには結構な手間がかかる。
私も前述の記事を書いた際に手作業でレジストリを復旧しているが、非常に面倒だった記憶がある。
その時にいろいろ調査しているので、今現在感染して困っている人が参考にしてくれれば嬉しいと思う。
自動で復旧してくれるツールとかは発表されていないのかな?つか、そういったツールがあれば助かるなぁ。

←クリックしてくれると嬉しいです。

FakeAlert

「メールを開いたらそれ以降わけのわからない警告画面が出るようになってしまった」というパソコン(OSはWindows VISTA)が持ち込まれた。
預かってスタンドアロンの状態で起動してみると確かに警告のWindowがひっきりなしに開く状態。
その警告が「このPCはウィルスに感染している。対策ソフトの完全版を購入するか?」みたいな文言。
なんということは無い、偽の警告を表示してソフトを購入させようとする(以前からよくある)マルウェアだ。
早速ウィルス対策ソフトをインストールして駆除したが、実行ファイルの駆除には成功したものの、各種のプログラムが起動できなくなってしまった。
アプリケーションを起動しようとすると「このファイルを開くための云々」というメッセージが出て、プログラムを選択するように促される。
つまり「.exe」の拡張子に関連付けられているプログラムが無いということになっている。
え?「.exe」ってアプリケーションじゃないの?と思って関連付けを変更しようとしてレジストリエディタを起動しようとしたが、やはり起動できない。
仕方が無いのでc:\windows\regedit.exeを右クリックして「管理者権限で実行」を選択すると無事に起動できた。
他のソフトも同様の手段で起動できたが、アプリの起動時にいちいち右クリックするのも面倒だし、そもそもこのPCは自分で使うものでは無いので、元通りにしなくてはならない。
調べてみると
\HKEY_CLASSES_ROOT\.exe\
の下に\shellというキーが作成されており、その中を見ると駆除された”av.exe”を使うようになっている。

regedit画面

不正に書き加えられたレジストリキーとその内容


上の写真のように「.exe」拡張子のファイルをダブルクリックした時には、駆除されたマルウェアの実行ファイルである「av.exe」を経由して目的のプログラムが起動されるようにレジストリが書き換えられており、そのせいでアプリケーションを実行しようとすると関連付けがおかしいという状況になっていたらしい。
そこで値として「av.exe」を含むレジストリキーを検索して全てを削除したが、それでも「.exe」の拡張子のファイルの実行が出来ない(症状が変化しない)。
さらに調べを進めていくと、「すべてのプログラム(EXE,LNKファイル)を実行できない」というページを発見したので、そこに載っていた手順を実行してみた。
そこで気付いたのが上記のページで示されたレジストリキー
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exeの値に本来は「exefile」の筈なのに「secfile」という値が入っているということ。
explorer.exeでファイルを表示した際のファイルの説明も本来は「アプリケーション」となっている筈なのだが、ここが「secfile」となっている。
そこで値が「secfile」となっているレジストリキーの値を全て本来の「exefile」に修正したところ、ようやく通常通りにプログラムの起動が出来るようになった。
この修正作業をしている最中にコンテキストメニューの「管理者権限で実行」が無くなったので、レジストリエディタの起動もコマンドプロンプトから「regedit」と入力して行わざるを得なくなった。
これも復旧後にはコンテキストメニューに復活していた。

←クリックしてくれると嬉しいです。