雑記 > Axis スパイウェアって何?

PR 国内メーカー東芝の直販ストア − 4万円台からノートPCがかな〜り安いっ! ウェブ限定・送料無料

SpyRescue】 Axis スパイウェアって何? 【誤検知】

 スパイウェアガイドが無料で提供してるスパイウェアチェックツール「SpyRescue」。前までは「X-Cleanerマイクロスキャナ」という名前で提供されてたものの後継だそうな。配布ファイルは「xclean_micro.exe」ということで、実行ファイル単体で提供されてるものなので、”オンラインスキャナ”という表現は正確ではないような気もします。

Alert - 疑わしいプログラムを検出しました! - 名前:Axis

 さっそく使ってみたところ、唯一1件『Axis』なるスパイウェアが検出されました。多くの方が入れてるであろうこの手のソフトは特に何も反応してくれず・・・。下の検知情報から調べてみると、「Vector Markup Language (VML)」という処理に関連した正規のレジストリデータのようだと分かりました(Wikipedia)。

Detected Axis:
CLSIDs (1) :
{10072cec-8cc1-11d1-986e-00a0c955b42e}

Registry Keys (2) :
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{10072cec-8cc1-11d1-986e-00a0c955b42e}
HKEY_CLASSES_ROOT\CLSID\{10072cec-8cc1-11d1-986e-00a0c955b42e}

 とほほのVML入門さんのサンプルを元にVML言語をこのページで使ってみました。Internet Explorerブラウザのみの対応で、FirefoxやChromeでは何も表示されませんが、画像ファイルを使ってないにも関わらずイメージ画像を貼りつけたような感じで表示されます。(見れない人用のスクリーンショット画像

<ここから↓>

<ここまで↑>

 手元のWindowsパソコンで実際のレジストリを確認すると下のファイルパスと紐付けされてました。これはマイクロソフトによる正規ファイルで、「Vector Markup Language (VML)」の処理を担当してるDLLファイルです。

C:\Program Files\Common Files\Microsoft Shared\VGX\vgx.dll

 スパイウェアガイドの説明ページオリジナルページ)では下のような説明になってます。単なるレジストリのデータなのに「トロイの木馬」となってます。 「Tencent QQ」というのは中国で一番普及してるインスタントメッセンジャーです(Wikipedia)。

タイプ: トロイの木馬
危険度: 5 [説明]
コメント: Tencent QQで一般的なオーバフロー エクスプロイトで、リモート アクセスのアカウントを確保するために分布されています。
※ 原文 → This is an overflow exploit that is common in Tencent QQ that allows for the distributor to gain remote access to the account.

 ページ内の右側にある「今月の報告トップ スパイウェア」に目をやると、『Axis』は1位で、2位と比らべて明らかに異常な検知数を示してます。これは何か怪しい〜!、ってことで調べた結果がこのページです。

今月の報告トップスパイウェアの1位が『Axis』... これだけ検知数が異常に多く4ケタ!? . 先々月(2011年5月)まで0件だった『Axis』が先月(6月)から異常な検知数を示してる!?

※ 今月:2011年7月 / 先月:2011年6月 / 先々月:2011年5月

結論 → 2011年6月に修正された脆弱性に関連したレジストリデータの誤検知
 「vgx.dll」ファイルには過去何回か脆弱性(セキュリティ上の欠陥)が発覚していて、2011年6月にも”緊急”レベルでマイクロソフトから修正パッチがリリースされてます。2011年5月時点では0件だったものが、6月になってからの異常な増加は何かの偶然か・・・。『Axis』はこの問題を悪用する何か(スパイウェア? トロイの木馬?)であると思われます。セキュリティソフトを入れてない人はバスターの体験版でも検出はないでしょう。

除去してしまった場合...
 このレジストリデータを除去してしまうと、Internet Explorer上でVML言語による表示処理が行われなくなってしまいます。VMLは業界標準化されず、行く行くは絶滅する言語のようなので、実害がある人はかなり限定的っぽい感じ?

PR 東芝の直販ショップ − 安い4万円台からノートPCがっ! ウェブ限定・送料無料

2011/07/xx
キーワードタグ : Axis ウイルス, Axis スパイウェア, Axis トロイの木馬, Axis スパイ

= ウイルス関連オンラインスキャン (無料) =
ファイル単体オンラインスキャン | オンラインウイルス・スパイウェアスキャン | 無料パソコン診断検査


雑記 > Axis スパイウェアって何?


Copyright © 2016 Let's Emu!. All rights reserved.