acerノートパソコン マルウェア・アドウェア・迷惑ソフト感染(Hao123他)

Windows8モデルだったと思います

-----------------------------
症状:複数のマルウェア/アドウェア/迷惑ソフトに感染
原因:フリーソフトインストール時に広告付きインストーラーが用いられていたために同時感染。

作業内容:
各種マルウェア/迷惑ソフトの駆除・レジストリの修復・ジャンクファイルの消去
Windows UPDATEの実施・セキュリティソフトの定義ファイルアップデート・セキュリティスキャン

お預かり期間:複数感染であったこともあり3日間

税込:8,640円(修理実施当時の料金です)

(セキュリティ対策ソフト代は含まれておりません)
 

マルウェア/迷惑ソフト 駆除作業 
クリックで大きな画像が別ウィンドウで開きます
クリックで大きな画像が別ウィンドウで開きます 		(作業中写真はありません)
(お客様への説明用にとったスクリーンショットです)

昔のサポート時に撮ったスクリーンショットなので、詳細を覚えていませんが、とりあえずセキュリティ対策ソフトとしてノートンがインストールされていました。
何か怪しい物が入っていることを検知しているということはノートンは正常に動作しています。
それにもかかわらず観戦してしまったということは、おそらく広告付きインストーラーを使用したフリーソフトのインストール時に、お客様が同時インストールのマルウェア・迷惑ソフトのインストールに対して許可をしてしまったということです。
※実際にDVDコピー系の違法フリーソフトがインストールされていました。
※「Hao123」以外の物にも感染していたような気はするのですが忘れてしまいました。
クリックで大きな画像が別ウィンドウで開きます
クリックで大きな画像が別ウィンドウで開きます 		まずはInternet Explorer。
立ち上げた瞬間、変なサイトに飛ばされます。
ホームページの設定を書き換えられていると思われます。

実際、URL欄にはなんかよくわからない海外サイトのまとめページのURLが表示されています。
また、ポップアップブロックの警告欄にも、同じサイトのURLが表示されていました。
クリックで大きな画像が別ウィンドウで開きます
クリックで大きな画像が別ウィンドウで開きます 		あれ?
ポップアップブロック機能をかいくぐって、ポップアップウィンドウが開いてきました。

変ですねぇ・・・
クリックで大きな画像が別ウィンドウで開きます
クリックで大きな画像が別ウィンドウで開きます 		いかにもマイクロソフトのサポートのような体裁を装った偽警告ウィンドウです。
ぼかしを入れていますが、東京の電話番号が記載されています。
しかもしつこく3回も!

これは、この番号に電話をかけると、さもマイクロソフトのサポートセンターに繋がったように装って、遠隔サポートをしますので振り込みでお金を払ってくださいとか、クレジットカード決済をしていただければすぐに対応いたしますとかって流れに持っていくヤツです。

でも偽のサポートセンターなので、当然お金を払っても何も改善しません。
それどころか、遠隔操作で本格的なウイルスを仕込まれたり、犯罪に利用するためのバックドアを仕掛けられたりする可能性もあります。
Hao123(ハオイーアルサン) / Baidu社(中国)
クリックで大きな画像が別ウィンドウで開きます
クリックで大きな画像が別ウィンドウで開きます 		最近あんまり見なくなりましたが、定番中の定番「Hao123」です。
「Hao123」というのは本来は中国のバイドゥ株式会社(Baidu/百度)が運営する中国最大手の検索エンジンの名前です。
「Hao123」自体がマルウェアや迷惑ソフトということではありません。
広告付きインストーラーを使用しているフリーソフトのインストールを利用して、自社のサイトに強制的に誘導できる環境をパソコンに仕込むのですが、このインストールをするプログラムがマルウェア・迷惑ソフトなのです。

Baidu社が広告付きインストーラーを使って仕込むものには、「Hao123」の他に「The Desktop Weather」や「Baidu IME(日本語入力システム)」などがあります。
「Baidu IME」自体は一応ちゃんと動作する日本語入力ソフトです。
(Baidu IMEの持つ問題は後述します)
Hao123(ハオイーアルサン)の持つ問題点
クリックで大きな画像が別ウィンドウで開きます
クリックで大きな画像が別ウィンドウで開きます 		「Hao123」の持つ問題点ですが

・このパソコンのようにホームページを勝手に書き換える
・ウィンドウズの通常のアンインストール操作を行っても削除することができない
・ブラウザのホームページ変更を行っても、再度『Hao123』にホームページが設定されてしまう
・ホームページに記された操作を行っても完全に削除できない
・アンインストールしても他のBaidu製ソフトがインストールされていると『Hao123をスタートページに設定しませんか』というポップアップが定期的に表示される

など、悪名の高さは上位にランクされます。
クリックで大きな画像が別ウィンドウで開きます
クリックで大きな画像が別ウィンドウで開きます 		日本語入力ソフト「Baidu IME」の問題点

・インターネット検索だけでなく、そのパソコンでの入力文字情報を自動でBaiduのサーバーに送信する
※つまり、打ったメールの内容も、会社の書類の内容も、クレジットカード番号も、様々なアカウントやIDも、様々なパスワードもみーーーーんなBaiduのサーバーに送られちゃうって事です。
※実際は半角文字は送信されてなかったという事なので、通常の入力ではクレカ番号やID/パスワードは送信されてなかった(らしい)みたいですが・・・
※現在は修正されているそうです(そういう事になっています)

ちなみに元々日本製だったスマホ用文字入力アプリの「Simeji」もBaidu社に買収された後、同じように入力された情報をユーザーに無断で外部に送信していました。
※これも現在は修正されているそうです(そういう事になっています)
ちなみに、広告付きインストーラーや、Webサイト閲覧時に「警告」を出してくるもの、「警告ウィンドウに見せかけた」バナー広告などをクリックしてインストールされる この手のマルウェア/アドウェア/迷惑ソフトは、セキュリティソフトをインストールしてあっても、ほとんどの場合防ぐことができません。

バリバリのウイルスではないというのもその理由のひとつなのですが、最大の感染理由は、 インストール時に必ず「一緒にインストールしますよ?いいですか?インストールを進めますよ?」と 聞いてきており(たいてい英語ですが)、それに対してユーザーが「OK」とか「YES」とか「NEXT」のボタンを押して許可を出しているからです。

怪しいソフトや法律的にまずいソフトを、無闇に(というか適当に?)ホイホイとクリックしてインストールしちゃいけないということですね。

<< 前のページに戻る

電子決済「PayPay」
お使いいただけます

PayPay使えます
「支付宝」欢迎使用 Alipay使えます

各種クレジットカード
お使いいただけます

クレジットカードOK 店頭でのお支払いに各種クレジットカードがお使いいただけます。
(カードによってご利用いただける支払い方法が異なります。詳しくはこちらをご覧ください)

↑ PAGE TOP