(2013-0416)

PCの修理

知人からヘルプ要請あり。シャットダウンできなくなっている。電源ボタン長押しで強制終了し、電源再投入。「正常に終了しなかった」と出るが、通常起動。

これはひどい。Baidu IME、SpeedUpMyPC、永久不滅.com。ブラウザのスタートページは hao123 にされている。

モノは Windows 7 Professional か。タスクマネージャーを動かす。tasklist で表示させると 


イメージ名                     PID セッション名     セッション# メモリ使用量
========================= ======== ================ =========== ============
BaiduJPServ.exe               1592 Services                   0     35,232 K
BrowserProtect.exe            1684 Services                   0      4,164 K
NaverAdminAPISvc.exe           692 Services                   0      4,848 K
BaiduIME.exe                  2852 Console                    1     19,548 K
BaiduPlatform.exe             2864 Console                    1      9,140 K
sump.exe                      3080 Console                    1     16,432 K
ApplicationManager.exe        3812 Console                    1      6,036 K
あたりが悪質プロセスだな。

SpeedUpMyPC

SpeedUpMyPC は会社登録はマルタ島。怪しさ満開だが、検索すると詐欺ソフトの一種で、要するにわざとPCをおかしくして”購入しろ、60日以内なら解約できるから”と脅迫してくるソフトだ。(CPUを食いつぶしたりディスク周りのエラーを出す) ちなみにひとたびカード番号を入れると「継続的サポート料」と称して1年後に法外な料金を引き落とすらしい。 sump.exe のプロセスを終了させて、アンインストールする。

Baidu IME

それにしても何で Baidu IME なんかがあるのか。 プロセスを終了させて、アンインストールする。

セゾンのスパイウェア

セゾンを騙るフィッシングサイトかと思ったが


セゾンが出したスパイウェアだ。大手企業がスパイウェア配布してるんだからヒドいな。ブラウザの全閲覧履歴と引き替えに僅かなポイントが貰えますっていう酷い"サービス"。セゾンがこんな事をする会社なら、クレジットカードは解約しようかな。 アンインストールする。

hao123

こいつはタチが悪い。ブラウザのスタートページだけでなく、hosts を書き換えるとの情報もある。 プロセスを終了させて、アンインストールする。幸い hosts は書き換えられていなかった。

NaviNow Web Tool 1.0

「NaviNow Web Tool 1.0 発行元 KINGSOFT JAPAN INC.」を見て「これはダメだな」と思い調べたらその通り。 プロセスを終了させて、アンインストールする。

Delta Toolbar

広告配信だって? 要らん! 以下を参考に、プロセスを終了させて、アンインストールする。

DELTA SEARCH

何で DELTA なにがしが2つもあるのか? とにかく、以下を参考にプロセスを終了させて、アンインストールする。

ApplicationManager

ApplicationManager とは、いかにも名前は役立ちそう/重要そうだが、これも広告を見せつけるための迷惑ソフト。以下を参考に、プロセスを終了させて、アンインストールする。

BrowserProtect

BrowserProtect とは、いかにも安全性向上に役立ちそうな名前だが、Bit89 Inc とか、わけのわからない会社のプロセスが動いていたので調べたら案の定。 これを参考に、プロセスを終了させて、アンインストールする。

MSE

タチの悪いソフトは沢山入っていたが、代わりにアンチウイルスソフトが入ってない! Microsoft Security Essentials を入れてスキャン。幸い、感染ファイル等は検出されなかった。

その他

評判の悪い Kingsoft のアンチウイルスやファイヤーウォールは、後日に誤ってインストールしないようにフォルダの名前を変えた。 (プログラムが、インストールはされずに置いてある状況だったため、アンチウイルスソフトを入れたと思っていた模様。でも逆にインストールされてなくて良かった)

net accounts /MAXPWAGE:UNLIMITED というコマンドを実行しパスワードの有効期限を無期限に

原因と思われるもの

アプリを開発元など正規の場所からではなく、ソフトウェア紹介サイトSoftonic(ソフトニック)からインストールしているためと思われる。 (知人のPCのデスクトップにはSoftonicからダウンロードしたフォルダがあった)

これでインストール時に「高速インストール(おすすめ)」を選び、英語の画面表示を良く理解しないまま全て「OK」とすると、一気に「悪質ソフト」山盛りになる。

検索してヒットした所から、疑う事無く入れたかな。

ただし、自分のPCで再現実験をする根性はさすがに無い。

ちなみにソフトニック自身は

Softonic(ソフトニック)は無料ソフトと無料アプリを安心してダウンロードできる世界最大級のダウンロードサイトです。 Windowsソフト、Macアプリ、スマートフォンアプリ( Androidアプリ、iPhoneアプリ)、Webアプリを公正なレビュー記事でご紹介します。
と称している。 (あまりに酷いので URL は載せたくありません) 私はこんな言い分は一切、信用しないが。

また Impress が欧州最大のソフトウェアダウンロードサイト「Softonic」が日本進出と提灯記事を書いている。

再発防止

とにかく、今後は公式サイトか、「窓の杜」や「Vector」など、定評のあるソフトウェア紹介サイトからインストールするように依頼。

さらに、セキュリティーの観点からは、PCは最小の権限で使うというのがセオリーなんだが、「権限を下げたら使えない」となると(アプリのインストールの時だけユーザーを変えて、などはできないのであれば、常用するユーザーの権限を高くしないと「インストールできない」となる)これだと治しはしたが、またすぐに…という気もする。それともいい手でもあるのか。

今回みたいに、ソフトニックのダウンロードサイトから「騙されてインストールしてしまった」などという場合は、通常は最小の権限で使う、という方法でもぜんぜん防げなかった内容なのだが

Windows 7 における制限付きのユーザー アカウントの構成は、英語で読んだほうがよさそう。でも、「Windows 7 で初心者が安全にPCを使い、かつアプリのインストールもできるようにはどうするのが最善か」辺りがすぐに回答できないのだから、私も腕が落ちたな。SANS Internet Storm Center にでも書いてあるかな。