韓国製ソフト Bandizipにマルウェアが入ってないか調べてみた
Bandizip(バンディジップ)のダウンロード : Vector ソフトを探す!
完全無料の、高機能圧縮・解凍ソフトBandizip(バンディジップ) | Bandizip 【バンディジップ】
Spyware を検出するという話があったので徹底的に調べてみたよ・ω・
まず、インストールされるファイルは
%USERPROFILE%\Local Settings\Application Data\Bandizip 固定でほかには入らないので大丈夫みたい
次にインストールされたプログラムの中をスキャン
bdzsfx.sfx だけが Antiy-AVL Packed/Win32.Klone として検出
中身を見てみるとネットワークにはアクセスしないけど、ファイル操作するなにか EXE を sfx 二リネームしてるということが分かる。
リソースエディタ見ると
こんなの出てきたので、多分怪しいファイルではなく自己解凍用の埋め込み用EXEでなんだと思う
・・・って訳で誤検出
次にネットワークアクセスするかを調べてみたところ
wininet.dll が Bandizip32.exe からインポートされてる。
1.自動アップデート用 ・ω・
2.www.bandisoft.co.kr/report/report2 へのクラッシュレポート用
3.広告
で、広告の処理を見ると
1.http://adc.gomplayer.jp/bandizip/banner.html
2.http://adclients.gomplayer.jp/delivery/ajs.php?zoneid=20&cb=もふもふ&charset=utf-8&loc=http%3A//adc.gomplayer.jp/bandizip/banner.html ←ここでリファラー通じてPCの環境(OS、画面サイズ、IEのバージョン、.NET のインストール状況が送られるくらい)
3.http://adclients.gomplayer.jp/delivery/ai.php?filename=bandizip_ui_bnn.gif&contenttype=gif
4.http://adclients.gomplayer.jp/delivery/lg.php?bannerid=もふもふ&campaignid=もふもふ&zoneid=20&loc=http%3A%2F%2Fadc.gomplayer.jp%2Fbandizip%2Fbanner.html&cb=もふもふ
http://adclients.gomplayer.jp/delivery/ck.php
だが、この広告の処理は親切なことに カスタマイズ可能!
config.ini を開いて
| [URL]
URL_HOMEPAGE = http://www.gomplayer.jp/bandizip/redirect.html?type=home url_info = http://www.gomplayer.jp/bandizip/info/index.html |
赤字の部分を https://win2k.org/mof.htm に変えてみる ・ω・
うん、とってもイイ ・ω・
とりあえず、GOM Player や Bandizip は 怪しげな海外のダウンロードサイト経由でダウンロードすると、変なアドウェアを仕込まれることがあるみたいだけど、オフィシャルサイトから直接指定されてるダウンロードからだと安全みたい。
Win32.Worm.Viking/C(gomwiz.exe): パソコン日記
Gomplayer virus
GOM Player program came with TROJANS: - CNET Spyware, viruses, & security Forums
これは、2010年10月ごろに GOM PLAYERのセットアップウィザードにトロイの木馬が仕込まれてた疑惑について。
Antivirus scan for 093e2579db2533fcc05138507cbb6279 at 2013-05-14 02:14:13 UTC - VirusTotal
オリジナルの gomwiz.exe には電子署名が入ってるけどリソースは入っていない。
Antivirus scan for 9c1b125f75f1c4ca264254877fcb85d9 at 2013-07-10 06:44:48 UTC - VirusTotal
加工された gomwiz.exe には電子署名が入ってない代わりに偽装したリソースが埋め込まれている
Antivirus scan for b134f4dde3edd4d95b77e4bd26bae614 at 2012-09-27 15:11:23 UTC - VirusTotal
こっちはリソースがない代わりに別のウィルスに感染
W32.Sality.AE | シマンテック 日本
要するに第三者が、オリジナルの gomwiz.exe を故意に感染させてパッケージングしなおして配布してると考えるのが良さそう ・ω・
GOMWIZ.EXE のプロパティを開いて『デジタル署名』のタブがあるか確認!
というわけで、今回の GOM PLAYER と BANDIZIP は韓国製ではあるけど 白じゃないかなというのが結論です。
Translate
検証興味深く拝見しました。
正規のサイトでないソフトをダウンロードした記憶があり、言われている通り色々おまけが付いておりました。
「トロイの木馬」と「アドウェア」が付いていて、トロイは削除が容易に出来たものの…「Bandizip」本体に「アドウェア」が含まれていてブロック回数が多かったです。
検証を拝見して、ホッと致しました。
良いソフトを開発している所のソフトに悪質なモノを仕込むのは許し難いですね。
ソフトにそういうモノを仕込むのは流行ってるのでしょうか…。
動画ソフト「Xvid4PSP」でアドウェアお宝満載で格闘した事があるのですが、これも仕込みかもしれませんね。
正規の「Bandizip」を使用してみようと思います。
検証、ありがとうございました。
EaseUS Todo Backup 4.0.0.2
上記、バックアップソフトですが中華製です
このソフト、起動時通信してるようです
Win7標準FWを使用してますが、なぜか起動するとダイアログなしで、受信の許可のルールが作られます
OSかアプリ側かわからないですが、すこし気味が悪いですw
良い代換品があれば乗り換えるんですがw
SaAt Netizen という韓国製セキュリティソフトは信用できるかどうか、お時間がありましたら調べていただけるとありがたく存じます。
多数の大手銀行が顧客にインストールを薦めているもので、不正送金やウイルスをブロックすることが目的のソフトということです。
http://www.saat.jp/netizen/
不正があったという情報は今のところありません。
しかし、万一マルウエアなどが仕込まれていれば、その影響は極めて大きいと思います。
韓国人から見れば日本は敵国ですから、何を仕掛けてくるかわかったものではありません。
SaAt Netizen ですが、以前紹介した通り、あの悪名高い nProtect製でして、
トロイなどの問題以前に品質が酷いと予想できます。
http://blog.livedoor.jp/blackwingcat/archives/1807309.html
nProtect って名前だと評判が悪いので名前を隠すために変えたんじゃないでしょうか?
——————–
と思って詳しく調べたら、Ahnlab 製だというのが判明
ちょっと記事を書き換えました
ウィルス入りセキュリティソフトが、2流のセキュリティソフトに変わったような認識で
いいんじゃないですかね・ω・;