Flash Player のマルウェア導入機能が素晴らしい件
Flash Player を手動でインストールする場合は注意が必要です
というのは、インストーラーにこっそりサードパーティのアプリのインストーラーが組み込まれるからです。
今回は、買収されて、Intel を隠れ蓑にして好き放題やってる McAfee の True Key のインストーラーを紹介します。
| The windows error code is - 12180 Failed to get the user proxy settings. Error is 12180. Ignoring the proxy setting in this case. failed to resolve the proxy setting on the machine The file to be downloaded is https://platformdl.adobe.com/Truekey/4.4/TruekeyServiceInstaller.exe Going to download the file at %UserProfile%\AppData\Local\Adobe\DB499019-599D-409F-8668-D19136516EDD\19E9919D-7CC6-4C23-8519-B3DB9AD7B942/BF1D993D-E3CC-48D6-906D-F26FA1BC33CB Header Field for the HEAD request is : HTTP/1.1 200 OK |
platformdl.adobe.com から、 TruekeyServiceInstaller.exe という名前でダウンロードされますが、実行ファイル名は BF1D993D-E3CC-48D6-906D-F26FA1BC33CB と言う拡張子の無いファイルに偽装されて実行されます
ファイルの実体はこんなんです
直接起動してみると、Name Setup という、サンプルプログラムのままのタイトルの、やる気のないインストーラーが起動します
というのは、このインストーラー普通は非表示で実行されるので、表からは見えないんですよね
そして、インストーラー本体は実行後に消滅
%PROGRAMFILES%\TrueKey にインストールした後、Windowsの sc.exe にサービスを登録するスクリプトが動いてるだけの様です。
True Keyのアンインストール方法!削除プログラムはここだっ! | SeekCHIPS
| 生みの親はなんと!インテル様 True Keyの本体がインストールされているフォルダーの中にいた。 Program Files >「Intel_security」> 「True Key」の中にアンインストールプログラムが見えるだろうか? |
インテルが買収した、金さえ払えばマルウェアを公式アプリに認定する組織マカフィーが作ったアプリです
インストール場所が変わってる上に、アンインストーラーがないようで、凶悪化しています。
サイトで説明してるバージョンのプログラムがインストールされると Uninstall.exe がちゃんと存在するんですが
アプリのインストーラークリーンアップが、いやらしいファイル名で登録されます。
Uninstall.exe が存在しない場合は、管理モードでコマンドプロンプトを起動し、以下の赤字のコマンドを実行した後
| Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32>net stop InstallerWrapperService C:\Windows\system32>sc delete InstallerWrapperService C:\Windows\system32> |
%ProgramFiles%\TrueKey を消せば手動アンインストール完了。
インテル版アプリとして偽装?された場合、サービス名はTrueKey、表示名はIntel Security True Key になります
さらに、TrueKeyScheduler というサービスがもう一つ登録されて実行されるので2つとも消さないとダメです
| C:\Windows\system32>net stop truekey Intel Security True Key サービスを停止中です. Intel Security True Key サービスは正常に停止されました。 C:\Windows\system32>net stop TrueKeyScheduler C:\Windows\system32>sc delete truekey C:\Windows\system32>sc delete TrueKeyScheduler C:\Windows\system32> |
ポイント
・ インストーラー https://admdownload.adobe.com/bin/live/flashplayer23_wa_install.exe は実行後に自動消滅してFlash Player がインストールしたという証拠は残さない!
・ マルウェア側のインストーラー は実行ファイル名を偽装して、 プログラム名を分からないようにしてから管理者権限で インストールする。(フラッシュプレイヤーのインストーラーが管理者権限で起動されてるので確認は出ない!)
・ マルウェアのインストーラーにはアンインストール機能がない。
・ 最初にインストールした Flash Player をアンインストールしてもマルウェアだけ残る。
・ω・ 随分、完璧な マルウェアインストーラーを作りましたね、Adobe さん
オラクルといい、脆弱性だらけのアプリをばらまくクズメーカーは、バンドルソフトの同梱方法もセキュリティのについてもむちゃくちゃですねw
True Keyのアンインストール方法!削除プログラムはここだっ! - SeekCHIPS - 脳脂肪のパクリメモ
【悲報】McAfeeが詐欺ソフトに協力してる事が判明/創業者近況
Translate
Windows上のブラウザからダウンロードするときだけ何を選んでも胡散臭いインストーラが落ちてくるんですよね…。
Linuxからだとinstall_flash_player.exeという至って普通なインストーラがダウンロードできるあたりadobeの悪意を感じます。
まさか
Windows 10 のタスクマネージャーにもバックグラウンドアプリとして表示されなかったりして?
速攻落としました。頼るべきは直リンです
McAfeeは、InstallerWrapperService.exe に対しても、まともな署名をすべきです
どとねとなのは微妙ですが、さあ何に転用できるのかな?
McAfeeは自社のコンポーネントをブロックできるかな?(黒い笑み
はじめまして。
マカフィー、嫌われちゃってますね。
昨年末から週末特価3000円で「リブセール3年版台数無制限」売らないとならない程人気ないんでしょうか?
かくいう自分はマカフィーを削除しました。