実家に帰った折に父親のPCの面倒を見るはめになった。
使っていたのはWindows8 + IE11。症状としては、ほぼ全てのWebページで、ページを開くたびにマルウェア由来のポップアップウィンドウが出るというものだった。ポップアップを閉じようとすると日本語が怪しいアラートダイアログが出る上、自然な日本語音声でウィルスに感染してるのどうのという警告音声まで流してくるウザさだ。
症状としては出てくるポップアップはこのTweetの表示がドンピシャで同じで、音声的にはこのブログ記事の内容が症状としてぴったりである。
全体的に明らかにマルウェアであるものの、例えばポップアップ単体を見ると昨今のウザいニュースサイトと大差がない。Wikipedia等でも出てくるため、今回は流石にマルウェアの仕業だと自分は判断出来たが、昨今の状況を理解していないと「ウザいサイトが増えた」程度に考える可能性はあるかもしれない。事実、マルウェアが介在しなくても見ている時点でウザいサイトは多い。面白いことに、Googleの検索結果ページにはこのポップアップは出てこない。
より恐ろしいのは、判断するにも検索することになり、そのPCの内で調べる限りどの情報が正しいかがいつまでも確信が持てないところだと思った。その他の日本語テキストが外国製で概ね不自然な翻訳になっているなかで、上の警告音声は妙に流暢な日本語で流れてくる。日本の電話番号までちゃんとだす。OS由来と勘違いして信用してしまっても不思議ではない。
削除方法については更に確信が持てない。
問題のPCには、ある有名な有料ウイルスチェックソフトがインストール済だったのだが、このマルウェアをそのソフトは検出しなかった。問題はIEアドオンなどではなくネイティブのアプリケーションが背後で起動していたことで、Program Files配下に自動起動するバイナリが置いてあった。だが、ウィルスチェックソフトは「フルスキャン」しても当該のバイナリについてはスルーした。マルウェアを検出できないケースが今では良くあるとは聞いているが、露骨に検出されないのを目にするとやはり微妙にショックだ。
怪しそうなアドオンを削除・無効しても同じ問題が発生し続けたため、タスクマネージャーから起動しているプロセスで怪しいものを探していたところ、運良くmwiynzm4ndy1yjz.exe というあからさまに怪しいプロセスを見つけ、ググるとこれが今回の問題であろうと分かった。さらにプロセスを殺すとIE上で発生した一連の理不尽な挙動は止まった。バイナリの在処を探しだして削除し、今回は一旦事なきを得た、ことにした
さてこれで終わりなのだろうか。例えば上記のexeには背後にさらに隠し玉がいて、子分が消されたら時間差で子分を再生するとしたらどうだろう。そもそも親が使っていたウィルスチェックソフトは本当に正当なものだろうか。バイナリを削除することをトリガーとしてランサムウェアを起動するような超絶悪意のあるマルウェアは入っていないだろうか。
ブラウザの外側にプロセスが走っていた時点で私がするべき提言は「再インストール」くらしかないんじゃないだろうか。ブラウザを変えるとしても、そのダウンロードリンクからして正しいか警戒しなければならないかもしれない。想像をたくましくすると怖くなる。
父親はPC音痴と言えるだろうか。インターネット接続がフレッツADSL等で一般的になる何年も前から自宅にはダイヤルアップ接続のPCがあり、それより前からDOSのゲーム等で遊ばせてもらった。親はスマホから音声検索するし、タブレットで数独をやりもする。勝手に推測すると、もし父親を素人的に考えるなら引退した団塊の世代は9割以上素人未満だ。
ネット上には注意していてもマルウェアの罠が待ち構えており、マルウェアと似たような広告を堂々と出すニュースサイト、それを助けることで利益を得る広告企業がひしめいている。やはり怖くなる。
使っていたのはWindows8 + IE11。症状としては、ほぼ全てのWebページで、ページを開くたびにマルウェア由来のポップアップウィンドウが出るというものだった。ポップアップを閉じようとすると日本語が怪しいアラートダイアログが出る上、自然な日本語音声でウィルスに感染してるのどうのという警告音声まで流してくるウザさだ。
症状としては出てくるポップアップはこのTweetの表示がドンピシャで同じで、音声的にはこのブログ記事の内容が症状としてぴったりである。
全体的に明らかにマルウェアであるものの、例えばポップアップ単体を見ると昨今のウザいニュースサイトと大差がない。Wikipedia等でも出てくるため、今回は流石にマルウェアの仕業だと自分は判断出来たが、昨今の状況を理解していないと「ウザいサイトが増えた」程度に考える可能性はあるかもしれない。事実、マルウェアが介在しなくても見ている時点でウザいサイトは多い。面白いことに、Googleの検索結果ページにはこのポップアップは出てこない。
より恐ろしいのは、判断するにも検索することになり、そのPCの内で調べる限りどの情報が正しいかがいつまでも確信が持てないところだと思った。その他の日本語テキストが外国製で概ね不自然な翻訳になっているなかで、上の警告音声は妙に流暢な日本語で流れてくる。日本の電話番号までちゃんとだす。OS由来と勘違いして信用してしまっても不思議ではない。
削除方法については更に確信が持てない。
問題のPCには、ある有名な有料ウイルスチェックソフトがインストール済だったのだが、このマルウェアをそのソフトは検出しなかった。問題はIEアドオンなどではなくネイティブのアプリケーションが背後で起動していたことで、Program Files配下に自動起動するバイナリが置いてあった。だが、ウィルスチェックソフトは「フルスキャン」しても当該のバイナリについてはスルーした。マルウェアを検出できないケースが今では良くあるとは聞いているが、露骨に検出されないのを目にするとやはり微妙にショックだ。
怪しそうなアドオンを削除・無効しても同じ問題が発生し続けたため、タスクマネージャーから起動しているプロセスで怪しいものを探していたところ、運良くmwiynzm4ndy1yjz.exe というあからさまに怪しいプロセスを見つけ、ググるとこれが今回の問題であろうと分かった。さらにプロセスを殺すとIE上で発生した一連の理不尽な挙動は止まった。バイナリの在処を探しだして削除し、今回は一旦事なきを得た、ことにした
さてこれで終わりなのだろうか。例えば上記のexeには背後にさらに隠し玉がいて、子分が消されたら時間差で子分を再生するとしたらどうだろう。そもそも親が使っていたウィルスチェックソフトは本当に正当なものだろうか。バイナリを削除することをトリガーとしてランサムウェアを起動するような超絶悪意のあるマルウェアは入っていないだろうか。
ブラウザの外側にプロセスが走っていた時点で私がするべき提言は「再インストール」くらしかないんじゃないだろうか。ブラウザを変えるとしても、そのダウンロードリンクからして正しいか警戒しなければならないかもしれない。想像をたくましくすると怖くなる。
父親はPC音痴と言えるだろうか。インターネット接続がフレッツADSL等で一般的になる何年も前から自宅にはダイヤルアップ接続のPCがあり、それより前からDOSのゲーム等で遊ばせてもらった。親はスマホから音声検索するし、タブレットで数独をやりもする。勝手に推測すると、もし父親を素人的に考えるなら引退した団塊の世代は9割以上素人未満だ。
ネット上には注意していてもマルウェアの罠が待ち構えており、マルウェアと似たような広告を堂々と出すニュースサイト、それを助けることで利益を得る広告企業がひしめいている。やはり怖くなる。