韓国 Ahnlab 製セキュリティ SaAT Netizen を解析してみたよ

http://saatalj.nefficient.jp/etc/saatalj/master/2d/ahn.ui

[AOS]
.BASE=.
.CODEPAGE=0
.OS=0
Netizen_Setup.exe=47216320,2014-01-28 15:58,.\,,,9F5F4C6E

<AHNEND:12A5ACE7>

Netizen_download.exe を 実行すると、 saatalj.nefficient.jp というところからダウンロードしているのだけど

名前:    saatalj.nefficient.jp.cdngc.net
Addresses:  14.0.43.145
          14.0.44.3
Aliases:  saatalj.nefficient.jp

14.0.33.89 IPアドレスの詳細 - ぺんたん info

inetnum:        14.0.32.0 - 14.0.63.255
netname:        CDNETWORKS-KR
descr:          CDNetworks
country:        KR
admin-c:        YK603-KR
tech-c:         YK603-KR
status:         ALLOCATED PORTABLE
mnt-by:         MNT-KRNIC-AP
mnt-irt:        IRT-KRNIC-KR
remarks:        This information has been partially mirrored by APNIC from
remarks:        KRNIC. To obtain more specific information, please use the
remarks:        KRNIC whois server at whois.krnic.net.
changed:        hostmaster@nic.or.kr
source:         KRNIC

person:         SeungHo Lee
nic-hdl:        SL2321-AP
e-mail:         network@utilus.net
address:        533 5F Lotte BD SEOUL Gasan-dong Geumcheon-gu Seoul, 153-023
phone:          +82-2-3441-0491
fax-no:         +82-2-565-8376
country:        KR
changed:        hostmaster@nida.or.kr 20080102
mnt-by:         MNT-KRNIC-AP
source:         APNIC

日本の皮をかぶった韓国のホスティングサイトでした

韓国インターネット振興院(http://www.nida.or.kr)

ええとですね、この手のダウンローダ方式で落とすインストーラーってのは落とす先のサイトがハッキングされたり、元々悪意を持ってたりすると、簡単にウィルスなどに差し替えてインストールさせることができるんですよ?
同じ韓国製のGOM Player で懲りてないの?馬鹿なの?・ω・

http://saatalj.nefficient.jp/etc/saatalj/master/2d/Netizen_Setup.exe
ダウンロードはこちらから実行してるらしい

インストールされるのはほとんど、Ahnlab V3 絡みのファイル。

例外として

Ark32lgpl.dll / Ark32.dll Bandisoft ArkLibrary という圧縮展開ライブラリ
klb32mkd.sys という 高麗大学情報保護大学院 cist.korea.ac.kr の ライブラリを使っているようだ。乱数読んでるので、多分暗号化絡みだと思われ
高麗大学大学院メール不正侵入 donga.com[Japanese donga]
北朝鮮から攻撃を受けた韓国の情報保護を主とした大学ですね

一番、問題があるとしたら、やっぱりインストーラーですかね
せいぜい45M程なんだから、国内においておけばいいと思う・ω・;

こういう事業展開の仕方する ネットムーブ株式会社 さんはもう少し考えた方がいいですね

セキュリティツール「SaAT Netizen」のご案内 | インターネットバンキングのセキュリティについて | 福岡銀行

ふくぎんでは「スパイウェア」や「フィッシング詐欺」等のインターネット犯罪への対策としてネットムーブ社のセキュリティツール「SaAT Netizen」(サートネチズン)を導入しております。

もうひとつ問題があるとすれば、韓国製のセキュリティソフトだというのを隠して、JUST Internet Security が中国製のセキュリティソフトというのを隠して販売したような手法で、あたかも、日本企業のネットムーブ社が作成したような紹介をしていること。

なんかあったときに、責任取れるんですか?

おすすめ

2件のフィードバック

  1. sangasgorira より:
    2014年7月5日 9:45 AM

    この前私の知り合いの小さな会社だが、地方で有名な銀行のネットバンキングシステムに誰が入れたか判らないが、saat netizenがインストールされており、ネットバンキングにアクセスすると、勝手にわけのわからない企業IDが入ってしまう。という状況になった。カスペルスキーのネット決済保護で問題なく動作していたのに、銀行関係者が自行の推奨ソフトをインストールしたのだろうが、迷惑な話だった。
    パソコンにたいして詳しいわけではないが、勝手にIDが入るということは、ハッキングされていたのだろう。
    saat netizenを削除したら正常な状態に戻った。

    返信
  2. 通りすがり より:
    2014年7月17日 12:54 AM

    名前: saatalj.nefficient.jp.cdngc.net
    Addresses: 103.4.201.71
    103.4.201.75
    Aliases: saatalj.nefficient.jp
    a. [IPネットワークアドレス] 103.4.201.0/24
    b. [ネットワーク名] CDN-006
    f. [組織名] 株式会社シーディーネットワークス・ジャパン
    g. [Organization] CDNetworks Japan Co.,Ltd
    もありました。製品が韓国製なんで?なのかもですが。

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です