ウイルスソフト”Adaware”についての調査レポート

2020年1月22日

こんにちは。

ある日突然デスクトップ画面にこんな画面が現れました。

有害アプリ”Adaware”について調査する

こんな気持ち悪いアプリ速攻で抹消したいところですが、
再発防止、警戒のためにまず、アプリについて調査してみます。

Adawareとはどんなアプリケーションなのか?

今回の事例で取り上げるのは「AdawareWebプラグイン」
インストール型のウィルスアプリではなく、
ChromeやFirefoxなどのブラウザのプラグインとして
活動するたちの悪いアプリケーションです。

Adaware公式サイト

主にウイルス対策ソフトを謳っているものでしょう。
日本語は非対応。自動翻訳が働きますが
「史上最強の安心アンチウイルス」と。

コレのどこが安心だ…
って話ですね。

安心できるアンチウイルスソフトを世に送り出すかたわら
こんな強引な手段で自社アプリをねじ込むという
会社ですからね…こんな事業所の営業を許してる合衆国も
少しは出るとこに出て営業指導でもしていただきたいところですが…

もうこの時点で匂います。
汚い手口で売り込もうとする会社やしつこい自慢を送りつける
会社は大抵Webサイトに通知機能の許可申請をしたがるものです。

ま、ウイルスをばらまいてる会社がねじ込んできた
アンチウイルスということでしょう。
更に調査を進めます

Adawareの侵入経路はどこからなのか?

Adawareの侵入経路は別のアプリをインストールする際に
紛れ込んで侵入してくるケースです。

今回は筆者がLinuxのディストリビューションを落とすために
ダウンロードを行っていた「Bittorrent」から紛れたものと思われます。

今まではtorrentはインストールウィザードのみで
ローカルでインストール作業を行っていましたが
近年ではローカルにインストールを行ったあと、
オンラインブラウザ上で追加のインストール作業が
進められるようです。

その際にChromeで閲覧しているというトリガーにかかり、
自動で有無言わずに強引に「AdawareのWebプラグイン」が
ねじ込まれるというわけです。

勿論通知や連絡は一切なしです。
その後、PCを使っている人が気づかないうちに
PC内部のバックグラウンドで悪さを働くことでしょう。

PCへの被害等

データーの抜き取り、改ざん等の確認はまだ見当たらず。
目視で確認できる範囲ででてきた箇所は以下の通り。

  • Windowsマシンに侵入する
  • タスクバーの通知アイコンに常駐している
  • タスクマネージャーでも常に稼働していることが確認できる
  • Chromeのアプリ管理画面で確認できる
通知アイコン一覧に紛れている。

まず、アプリが侵入してきてもまず気づかない。
ここの通知アイコン一覧で隠れている部分を開くことによって
初めて存在が確認できた。

ウェブコンパニオンという名で駐在している。
試しにウェブコンパニオンを開いてみる

クリックするとこのような画面が出てきた。
どうやらクイックスキャンの画面のようだ。
ChromeにFirefox、IEとそれぞれの
ブラウザー毎に検疫をかけるシステムか。

ってかChromeにFirefoxあってなぜにOperaがないねん?
Microsoft Edgeもないとか…
中途半端すぎるウイルスソフト。年代が古いんじゃないかとも疑えてしまう。

有害アプリ”Adaware”の削除を試みる

Windowsのアプリ管理機能で
「Web companion」という一覧があります

削除をすすめると

削除ウィザードが現れます
クリックして進めましょう。

問題なく削除できた…
くどい名残惜しいメッセージで削除を中止させる
傾向などは見えませんでしたが…

ん?
いきなりWebブラウザが立ち上がったと思うと…
既存の検索エンジンに変更を加えてあります。
もとに戻すには以下の通りに従ってください。

どうやら削除し他ユーザーへ腹いせでも
セットで盛り込んでくれていたようです。

Chromeで検索エンジンに変更はされていませんでしたが
Firefox、IEの規定の検索エンジンがBingに勝手に変わっています。

Googleなどに手動で戻しておきましょう。