KP

 昨年末から、このマルウェアが再び感染拡大傾向にあるため、注意喚起のためこの記事を再掲載いたします。
 フリーソフトで重宝している「Keepass、7Zip、Audacity」ですが、これらを配信しているサイトの中に、アドウェアと結びつけるアドウェア配信スキームを仕込んだものが出回っており、注意が必要です。これらのフリーソフトはきちんとした公式サイトからダウンロードをするようにしてください。

 Keepass、KeePass Password SafeはWindows用のフリーでオープンソースのパスワードマネージャです。
 7Zipは圧縮・解凍ソフト、Audacityはフリーなデジタル・オーディオ・エディタとなります。
 フランスのセキュリティ研究者によると、これらのソフトは偽のWebサイトを装ったクローンウェブサイトがあり、このサイトからダウンロードを行った場合、これらのフリーソフトはアドウェアと結びついているとのことです。
 この他にも7Zip、Paint.net、Inkscape、Scribus、GParted、Celestia、Audacity、Filezilla、Truecrypt、Blender、AdBlockなど多数のフリーソフトがあり、実際にこれらのソフトもアドウェアが仕込まれているとのことです。
 
 このアドウェアのスキームが仕込まれたフリーソフトをインストールしようとした場合、ユーザーに
 何らかの別のフリーソフトを追加インストールするように指示をかけます。

 例えば、フリーソフトで有名な「ImgBurn」これはCDやDVDなどを書き込むフリーソフトですが、このソフトをインストールをしようとした場合、追加でAVGウイルス対策の無料版をインストールするよう指示する画面が出てきます。この場合はユーザーがインストールを行うかどうか選択を出来ます。
ANGMARU

 これは、AVGなどの追加プログラムのインストールがユーザー行うたびに、アドウェアバンドラーは手数料を獲得する仕組みとなっています。このような 「ImgBurn」が使用しているような「オファー」の一部は合法的なアプリですが、これらの種類のソフトウェアバンドルは、本質的に悪意のあるアプリをプッシュすることにもなります。
 過去にも、フリーソフトを使用してバンドルされたアドウェアのソフトの中には、暗号違反のマイニングソフト、アドウェア、検索ハイジャッカー、タブハイジャッカーなど入れ込んでいたことがあります。これらの不正なソフトはバンドルされたソフトの中に仕込まれ、バンドルのソフトと一緒にインストールされてしまうことになります。もちろんユーザーはこれらの追加ソフトをインストールするかどうか選択できるのが基本ですが、中には半強制的に選択なくしてインストールされてしまうこともあります。

 今回発見なった偽クーロンサイトのドメインのほとんどは、.frまたは.es TLDを使用して登録されていることから、フランス語圏またはスペイン語圏がターゲットとなっています。ただし、いくつかのサイトは、国際的なTLDを使用していたため、英語でも利用できるサイトとなっているようです。


 以下のサイトは偽クーロンサイトのアドレスとなりますので、十分に注意してください。
keepass.fr
7zip.fr
inkscape.fr
gparted.fr
clonezilla.fr
paintnet.fr
greenshot.fr
scribus.fr
audacity.es
stellarium.fr
celestia.fr
celestia.es
azureus.es
clonezilla.es
inkscape.es
paintnet.es
handbrake.es
gimp.es
thunderbird.es
unetbootin.org
unetbootin.net
notepad2.com
keepass.com
audacity.fr
filezilla.fr
truecrypt.fr
blender3d.fr
grooveshark.fr
adblock.fr
qbittorrent.com