韓国製ソフト Bandizipにマルウェアが入ってないか調べてみた

Bandizip(バンディジップ)のダウンロード : Vector ソフトを探す!
完全無料の、高機能圧縮・解凍ソフトBandizip(バンディジップ) | Bandizip 【バンディジップ】

Spyware を検出するという話があったので徹底的に調べてみたよ・ω・

まず、インストールされるファイルは
%USERPROFILE%\Local Settings\Application Data\Bandizip 固定でほかには入らないので大丈夫みたい

次にインストールされたプログラムの中をスキャン

bdzsfx.sfx だけが Antiy-AVL Packed/Win32.Klone として検出
中身を見てみるとネットワークにはアクセスしないけど、ファイル操作するなにか EXE を sfx 二リネームしてるということが分かる。

リソースエディタ見ると
bd
こんなの出てきたので、多分怪しいファイルではなく自己解凍用の埋め込み用EXEでなんだと思う
・・・って訳で誤検出

次にネットワークアクセスするかを調べてみたところ
wininet.dll が Bandizip32.exe からインポートされてる。

1.自動アップデート用 ・ω・
2.www.bandisoft.co.kr/report/report2 へのクラッシュレポート用
3.広告

で、広告の処理を見ると
1.http://adc.gomplayer.jp/bandizip/banner.html
2.http://adclients.gomplayer.jp/delivery/ajs.php?zoneid=20&cb=もふもふ&charset=utf-8&loc=http%3A//adc.gomplayer.jp/bandizip/banner.html ←ここでリファラー通じてPCの環境(OS、画面サイズ、IEのバージョン、.NET のインストール状況が送られるくらい)
3.http://adclients.gomplayer.jp/delivery/ai.php?filename=bandizip_ui_bnn.gif&contenttype=gif
4.http://adclients.gomplayer.jp/delivery/lg.php?bannerid=もふもふ&campaignid=もふもふ&zoneid=20&loc=http%3A%2F%2Fadc.gomplayer.jp%2Fbandizip%2Fbanner.html&cb=もふもふ
http://adclients.gomplayer.jp/delivery/ck.php

だが、この広告の処理は親切なことに カスタマイズ可能!
config.ini を開いて

[URL]

URL_HOMEPAGE            = http://www.gomplayer.jp/bandizip/redirect.html?type=home
URL_DOWNLOAD        = http://www.gomplayer.jp/bandizip/redirect.html?type=home
URL_FORUM        =
URL_HELPPAGE            = http://www.gomplayer.jp/bandizip/redirect.html?type=help
URL_HELP_UTF8           = http://www.gomplayer.jp/bandizip/redirect.html?type=utf8
URL_HELP_SPLIT          = http://www.gomplayer.jp/bandizip/redirect.html?type=split
URL_HELP_ZIPX           = http://www.gomplayer.jp/bandizip/redirect.html?type=zipx
URL_HELP_7Z        =
URL_HELP_FASTDND        = http://www.gomplayer.jp/bandizip/redirect.html?type=fastdnd
URL_HELP_MULTICORE_COMP = http://www.gomplayer.jp/bandizip/redirect.html?type=multicore
URL_HELP_FASTARCHIVING  = http://www.gomplayer.jp/bandizip/redirect.html?type=fastarchiving
URL_HELP_AUTODEST       = http://www.gomplayer.jp/bandizip/redirect.html?type=autodest
URL_HELP_LONGPATH    =
URL_ICON_PACK        = http://www.gomplayer.jp/bandizip/redirect.html?type=iconpack
URL_MULTILANG_DOWNLOAD    =

url_info        = http://www.gomplayer.jp/bandizip/info/index.html
url_extract_dlg        = http://adc.gomplayer.jp/bandizip/banner.html

赤字の部分を https://win2k.org/mof.htm に変えてみる ・ω・

mof2
うん、とってもイイ ・ω・

とりあえず、GOM Player や Bandizip は 怪しげな海外のダウンロードサイト経由でダウンロードすると、変なアドウェアを仕込まれることがあるみたいだけど、オフィシャルサイトから直接指定されてるダウンロードからだと安全みたい。

Win32.Worm.Viking/C(gomwiz.exe): パソコン日記
Gomplayer virus
GOM Player program came with TROJANS: - CNET Spyware, viruses, & security Forums
これは、2010年10月ごろに GOM PLAYERのセットアップウィザードにトロイの木馬が仕込まれてた疑惑について。

Antivirus scan for 093e2579db2533fcc05138507cbb6279 at 2013-05-14 02:14:13 UTC - VirusTotal
オリジナルの gomwiz.exe には電子署名が入ってるけどリソースは入っていない。

Antivirus scan for 9c1b125f75f1c4ca264254877fcb85d9 at 2013-07-10 06:44:48 UTC - VirusTotal
加工された gomwiz.exe には電子署名が入ってない代わりに偽装したリソースが埋め込まれている

Antivirus scan for b134f4dde3edd4d95b77e4bd26bae614 at 2012-09-27 15:11:23 UTC - VirusTotal
こっちはリソースがない代わりに別のウィルスに感染

W32.Sality.AE | シマンテック 日本
要するに第三者が、オリジナルの gomwiz.exe を故意に感染させてパッケージングしなおして配布してると考えるのが良さそう ・ω・

GOM
GOMWIZ.EXE のプロパティを開いて『デジタル署名』のタブがあるか確認!

というわけで、今回の GOM PLAYER と BANDIZIP は韓国製ではあるけど 白じゃないかなというのが結論です。

GOM Playerによる感染経路がニュースになってたので補足してみた

おすすめ

4件のフィードバック

  1. スパイウェア嫌い より:

    検証興味深く拝見しました。
    正規のサイトでないソフトをダウンロードした記憶があり、言われている通り色々おまけが付いておりました。
    「トロイの木馬」と「アドウェア」が付いていて、トロイは削除が容易に出来たものの…「Bandizip」本体に「アドウェア」が含まれていてブロック回数が多かったです。
    検証を拝見して、ホッと致しました。
    良いソフトを開発している所のソフトに悪質なモノを仕込むのは許し難いですね。
    ソフトにそういうモノを仕込むのは流行ってるのでしょうか…。
    動画ソフト「Xvid4PSP」でアドウェアお宝満載で格闘した事があるのですが、これも仕込みかもしれませんね。
    正規の「Bandizip」を使用してみようと思います。
    検証、ありがとうございました。

  2. lol より:

    EaseUS Todo Backup 4.0.0.2
    上記、バックアップソフトですが中華製です
    このソフト、起動時通信してるようです
    Win7標準FWを使用してますが、なぜか起動するとダイアログなしで、受信の許可のルールが作られます
    OSかアプリ側かわからないですが、すこし気味が悪いですw
    良い代換品があれば乗り換えるんですがw

  3. 嫌韓人 より:

    SaAt Netizen という韓国製セキュリティソフトは信用できるかどうか、お時間がありましたら調べていただけるとありがたく存じます。
    多数の大手銀行が顧客にインストールを薦めているもので、不正送金やウイルスをブロックすることが目的のソフトということです。
    http://www.saat.jp/netizen/
    不正があったという情報は今のところありません。
    しかし、万一マルウエアなどが仕込まれていれば、その影響は極めて大きいと思います。
    韓国人から見れば日本は敵国ですから、何を仕掛けてくるかわかったものではありません。

  4. 黒翼猫 より:

    SaAt Netizen ですが、以前紹介した通り、あの悪名高い nProtect製でして、
    トロイなどの問題以前に品質が酷いと予想できます。
    http://blog.livedoor.jp/blackwingcat/archives/1807309.html
    nProtect って名前だと評判が悪いので名前を隠すために変えたんじゃないでしょうか?
    ——————–
    と思って詳しく調べたら、Ahnlab 製だというのが判明
    ちょっと記事を書き換えました
    ウィルス入りセキュリティソフトが、2流のセキュリティソフトに変わったような認識で
    いいんじゃないですかね・ω・;

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です