【死亡事例発見】銀行が薦める不正送金防止ソフトは役に立たない事が判明

PhishWall の開発元は Microsoft のテクニカルサポートに問い合わせる方法を知らないらしい。あなたが投稿しているとこはコミュニティ フォーラムなんですけど。
WindowsUpdate後にIE停止のエラー - マイクロソフト コミュニティ

2015/2/19 17:11:29

昨日なんとなくこのツイート見てコミュニティを開いてみました。


WindowsUpdate後にIE停止のエラー

いつもお世話になっております。
セキュアブレインの清水と申します。

今回ご連絡する件ですが、先週のWindowsUpdateにより下記の問題が発生しております。

【問題の概要】
弊社で提供する無料のツールバーにおいて、先のWindowsUpdateでの変更により
Internet Explorerが起動しない現象が発生しております。
以下の書き込みも確認出来ているため、早急に対応をしたいと考えております。
http://answers.microsoft.com/ja-jp/ie/forum/ie11-windows_7/internet-explorer-11-%E3%81%8C-internet/8d53e18a-4b46-494f-9d92-9d2213b68139

そのため、以下2点の対応を実施できるか確認を刺せて下さい。
Microsoft側でこの(IEが停止する)件の告知を実施頂くか、
 サポートでこの問題について情報を共有して頂く。

・先週のWindowsUpdateにより、IEの何が今までと変更となったのかを可能な限り説明頂く。
 (原因についてユーザより報告を求められているため)

【問題の詳細】
1.発生する事象
IE版PhishWallクライアントの特定のバージョンをご利用中のお客様において、
Internet Explorerを起動するとInternet Explorerが停止する。

2.本事象が発生する環境
IE版PhishWallクライアントのバージョンver3.5.14以前のバージョンを使用している状態で
2015年2月13日(金)に配信されたWindows Updateを適用した際に発生する。

※ver3.5.14は2014年9月末迄提供、ver3.5.15は2014年10月1日配信開始。

3.本事象の回避方法
Internet Explorer版PhishWallクライアントを最新版のver3.5.19へ更新する事で、
本事象が発生しないことを確認しております。

4.更新方法について
最新版への更新方法については、下記の弊社サポートサイトお知らせ欄の
「最新版PhishWallへの更新のお願い」をご参照ください。
http://www.securebrain.co.jp/support/index.html

何卒、宜しくお願い申し上げます。

『Internet Explorer
の更新によって互換性が取れなくなって IE
をクラッシュさせたりする事例があるとすると、逆に気づかないうちに、ツールバーがロードできなくなってていざという時に使い物にならないことがあって、
ユーザーが安心しきって油断したせいで逆に被害拡大することも有り得るんじゃね?』って、みてて思いました。

ツールバーにアドオンが表示されなくなりました - マイクロソフト コミュニティ

示されないツールバーは、セキュア
ブレインという会社のPhishWallというソフトで、クレジットカードだか銀行だかのサイトが安全のために推奨しているソフトです。
                                             :

msconfigによれば、コマンドはregsvr32exe"C:¥ProgramData¥duinuggd.dat"、場所は
HKCU¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Runです。ただ、此のチェックをはずしても、肝心の
ツールバーの現象は解決されません。

BKDR_VAWTRAK.A - Threat Encyclopedia - Trend Micro USA

This backdoor adds the following registry entries to enable its automatic execution at every system startup:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = regsvr32.exe /s "%ProgramData%\{random filename}.dat"

It checks for the presence of the following security-related directories in %Program Files% and %All Users Profile%\Application Data:

It will add a registry entry under the key below that forces the application to run with restricted privileges.

・regsvr32 %ProgramData%\{random filename}.dat を毎回実行する。
・セキュリティソフトのパスを探して、Windowsのポリシー機能でセキュリティソフトをブラックリストに放り込む
|。・ω・) 。o ( おおう、この発想はなかった! )

あんまり日本では被害の出てないウィルスなんですが、質問者さん、在日西欧人みたいなので思いっきり該当してるやんか・・・。

利用者が Java や Flash Player の更新を怠っていたため 感染
                   ↓
Norton 360 が 検出できず、PhishWall が破壊された。
                   ↓
Symantecのセキュリティソフトには自己修復機能があり、 ウィルス定義が後に対応したためウィルスが除去された
                   ↓
PhishWall には修復機能がないため破壊されたまま
                   ↓
中身のないウィルスの 自己再生機能だけが残ってる状態

ほんと、フィッシングサイトを検出する機能をつけて、危険な場合だけ警告するってのは、いざソフトが動かなくなった時、意味がないですよね。
それよりは、むしろ、「Java / Flash / 使ってるブラウザのバージョンを確認して、安全な時だけ【安心マーク】ディスクトップに表示するソフト」 でも作った方がいいんじゃね?っておもいました。

この、PhishWallクライアントを出してる、セキュアブレインさんは、 2004年にシマンテックの日本法人から独立した9人が作った会社なんですが、ちょっとセキュリティアドバイザー的な人が欠けてるんじゃないかな?ってきがししました。だから、マイクロソフトコミュニティーに的外れな問い合わせしちゃったりするんじゃないかと。

銀行がすすめてるのは、この PhishWallクライアント と 日本の代理店が販売して、国産と見せかけた 韓国のソフト SaAT Netizen ( しかも、インストール方式がウィルス感染で話題になった 韓国のGOM Player と同じ方式 ) なんですが、効果がないばかりか、顧客のセキュリティ意識 を低下させて、被害拡大するんじゃないかと思います。

【修正】nProtect Netizen が SaAT Netizen に改名して何が変わったか

幸い日本では不正送金のウィルスが日本をあまりターゲットにしていないこともあって、それ程話に上ってこないのですが、 見直さないと、近い将来手遅れになると思います。

結論: とりあえず、オンライン決済をしてる人は、銀行が薦めているツールに頼らないで、ちゃんとJavaやFlashやブラウザのセキュリティアップデートをしましょう

|・ω・)。o ( IEを封印した上で、Windows XPやWindows 2000 を使い続けてることよりはるかに危険ですよ! )

おすすめ

1件の返信

  1. M_M より:
    2015年2月20日 1:47 PM

    銀行ネタならこんなのが今週ありました
    ttp://www.kaspersky.co.jp/about/news/virus/2015/vir18022015
    一般の利用者側じゃなくて、銀行側なんですけどね。
    (月曜にBSのワールドニュース内でBBCが大々的に取り上げてたんですけど…日本に被害内から国内目ぢ阿賀反応して無いの?)

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です