しいたげられたしいたけ

ヤジが嫌なら国会のヤジをやめろ!

SEOによるマルウェアのアンインストール情報妨害という手口があるのか??

頼まれて他人のパソコンからアドウェアを削除した。ポップアップが出てくるようになって、ウイルススキャンをかけたら警告がいっぱい出てきたということで、依頼されたのだ。

スポンサーリンク

 

まずアドウェアの名称を特定しなければ始まらない。インストールされてるMcAfee SaaSを使ってフルスキャンする。

フルスキャンには1時間半ほどかかった。その間に、依頼者がメインブラウザとして使っているIEを調べると、トップページがsearch.conduit.comとやらに書き換えられていたり、既定の検索プロバイダがsearch.conduitになっていたりした。この会社名で検索し、コントロールパネルの「プログラムのアンインストールと変更」にSearch Protect Conduitという項目があるのも見つけた。削除対象だなこれは。

こちらはスキャン完了後に通常の手順でアンインストール&復元できた。

問題はここからだった。表示されたスキャン結果は、こんな感じ(ユーザ名は消してあります)。

f:id:watto:20140429120734p:plain

通知領域の「隠れているインジケータ」を表示させると、BlockAndSurfなるソフトが常駐していた。

で、「BlockAndSurf 削除」で検索すると、上位には、機械翻訳とおぼしきサイトがずらりと並ぶのだ!まあ見てください。

google:blockandsurf 削除

しかも検索上位のサイトはどれも削除ソフトのダウンロードを提案してくるのだが、そのソフト名で検索すると、スキャンはしてくれるが削除するにはクレジットカードによる支払いを要求するタイプのものらしいという情報がヒットする!

頭を抱えたのが、こちらのYahoo!知恵袋。依頼者もこの質問者と同様、DVD Decrypterをダウンロードしたらアドウェアが抱き合わせインストールされたそうだが、なんでこの回答がベストアンサーなんだ?明らかな機械翻訳文体で、しかも意味が全然通じないじゃないか!Yahoo!知恵袋は、回答受付期間内に回答が一件しかないと、自動的にそれがベストアンサーになるというシステムなのか?

先日、DVD Decrypterをダウンロードした後から、「ads by BlockAn... - Yahoo!知恵袋

結局、検索結果のページを何枚もめくり、Program Files(x86)フォルダ内にアンインストーラがあることを突き止めた(「プログラムのアンインストールと変更」から削除できるというサイトもあったが、依頼者のパソコンでは見当たらなかった)。

f:id:watto:20140429105320p:plain

残骸のフォルダと、不審なプログラムとして検出されたtmpファイルは、手動で削除した。レジストリエディタでレジストリの掃除もしておきたいところだったが、時間切れのためできなかった。

依頼者には、現象が再発しないか確認と、再度のフルスキャンを依頼した。

まとめ。今回検出した不審なソフトはSearch Protect ConduitとBlockAndSurf の二つだったが、後者は多分SEOを利用して、アンインストール情報の検索の妨害と、さらなる不審なソフトのインストールを促しているようだ。少なくとも私にはそうにしか見えない。

そんな手口があるなんて知らなかった!例によって私の情報が遅いだけだろうか?

対抗手段としては、検索ページの2ページ目以降を丹念に読む以外のことは、今のところ思いつかない…

追記:(5/1)

「逆SEO」と呼ばれる手口なんだそうです。