スパイウエア図鑑
MyPop

002 スパイウエアの検索 ▼end

この段階でのスパイウエアの検索結果は次のとおりです。

☆「Ad-aware 6」

レジストリキーが9件、レジストリ値が2件 検出されます。

Adaware.HTM

なぜか、いずれも、CnsMin関連です。

☆「Spybot-S&D」:

SpybotSD.Results.txt

レジストリキーが9件、レジストリ値が6件 ファイルが1件検出されます。

いずれも、「CnsMin」関連です。この場合、「Ad-aware 6」より、「Spybot-S&D」のほうが正確にスキャンしているようです。

☆「HijackThis」

下記のデータが検出されます。

Running processes:

C:\Program Files\UCAST\Free2\m\mypop.exe
C:\Program Files\UCAST\Free2\m\InfoWnd.exe
C:\Program Files\UCAST\Free2\m\InfoMng.exe

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [mypop_Free] C:\Program Files\UCAST\Free2\(User)\startup.exe
O11 - Options group: [!CNS] JWord(
O16 - DPF: {70A3ED4F-E41D-452F-8D59-0433205A754A} (MypopInstall Control) - 
http://cdc006.ucast.mypop.jp/ucast/client/install_files/MYPOP.CAB

ここで注意が必要なのは、「HijackThis」の場合、下記の項目を削除できないことです。

O11 - Options group: [!CNS] JWord(

「Fix」直後、再スキャンすると、ログから消えるので、削除されたように見えますが、「HijackThis」を再起動して、もう一度スキャンすると、また現れます。

「HijackThis」では削除できないのか、それとも、DPFフォルダにあるActiveXコントロールが、一旦削除したファイルを自動的に復活してしまうのか、私にはわかりません。

また、私の環境では、「プログラムの削除と追加」に「JWord(日本語キーワード)」という項目が表示され、「変更と削除」ボタンをクリックして削除できることを確認しています。

☆JWordのインストール

後で調べて判ったことですが、「Mypop」をインストールすると、なぜか、「マイドキュメンツ」フォルダの「Registry」フォルダに、次の二つのレジストリファイルが書き込まれています。

なんと、知らぬ間に「JWord」が組み込まれているのです。

試しに、IEのアドレスの入力ボックスにマウスを乗せると

「JWord:日本語でウェブアクセス&検索」

というポップアップが出ます。

また、「Spybot-S&D」や「Ad-aware 6」で「Fix」した後も削除したはずのレジストリ設定が復活してしまいます。

DPFフォルダにあるプログラムが、一旦削除したファイルを自動的に復旧してしまうようです。

参照(ブラウザーの「戻る」で、この画面に戻ってください。)

DPFフォルダ

☆スパイウエアと断定

このレポートを書くまで、私自身「Mypop」がスパイウエアだとは断定できませんでした。

しかし、ユーザーが知らぬ間に「CnsMin」という、反社会的なスパイウエアをインストールしてしまう限り、スパイウエアの手下としか思えません。

  • アンインストーラーをユーザーのローカルディスクに保存させない。
  • レジストリファイルをユーザーのローカルディスクに保存する。
  • ActiveXコントロールを使って、「CnsMin」をインストール/復活させる。
  • 「Mypop」をアンインストール後も「CnsMin」を置き去りにする。
  • 非常にわかりにくい場所にファイルを保存し、アンインストール後も削除していない。

以上の理由で、このソフトと「CnsMin」を削除することにしました。

他にも、ファイアウォールを素通りさせている疑いがあるようです。

≪Prev ▲Top Next≫

end

Ads by TOK2