セキュリティ雑感

<< 　金銭的利益を求める攻撃-WEB系  の続きです。>>

• 何処が境目？分類？　「犯人」側は知ったこっちゃない
• 昔のトロイの木馬、今のスパイウエア
• 注目すべきはセットの攻撃
• ウイルス対策ソフトはスパイウエアは専門でない？
• 合法か非合法か
• 発見時の対処は？ (10.31 22:15更新）
• 防衛は？

何処が境目？分類？　「犯人」側は知ったこっちゃない

何処が境目かなどという技術論、分類論はひとまず置いておきます。それはそれで面白いテーマなんですが、それよりも「複合攻撃」と言うか「連携プレイ」と言うかそちらを押さえて置く方が先だと思うので。

だいたいそんな分類は「犯人」側は知ったこっちゃないでしょう。なんだろうと金がかせげりゃ良いんです。トロイの木馬と言うかスパイウエアと言うか、その中をどう分類するかはこちら側の勝手であちらの知ったこっちゃありません。彼らは単に目的の為に使える道具を使っているだけです。金が稼げりゃいいんです。
「TROJ_AGENTは仲間と一緒に 」などは良い例。また今年のはじめにはこんなトロイの木馬がありました。
トロイの木馬・ウイルス・フィッシングを組み合わせた詐欺メール　2004.1.19

同社は、トロイの木馬ウイルス入りスパムで作られたバックドアからコンピューター・ネットワークに侵入して「オープンプロキシ」を作り、これを拠点にしてさらに大量のスパムを送信する手法をあげている。
　同社の推定ではスパムメールの60～70％が、オープンプロキシ経由で送信されているという。

Downloader.Mimail.B  です。
同じ件でこんな記事も。巧妙化するオンライン詐欺--トロイの木馬・ウイルス・フィッシングの「合わせ技」で　　「ウイルスをダウンロードする詐欺メールが横行」。
似たようなことは去年にも「トロイの木馬」入りスパムが増加中　（2003.8.1）なんてことが。

同じ様な効能を果たすものでも、あるものは「ただのブラウザクラッシャー」として扱われ、あるものは先日掲示板に登場したJs.Trojan.WindowBombのようにトロイの木馬と認定されるものもあります。

　　あのスレッドが怪しいのは質問者が書いたこととそのサイトの罠が一致していないことです。

昔のトロイの木馬、今のスパイウエア

トロイの木馬は最近は整理されてきていますが昔の記事を見てみると面白いです。例えばウイルスより怖い、『トロイの木馬』攻撃の実態　（2001.5.21）の書き出しはこうです。

君のコンピューターの中には、幽霊が潜んでいるかもしれない――『トロイの木馬』と言われるプログラムだ。悪質なハッカーの手にかかれば、これを使って君の行動を密かに調査し、データやコンピューターを破壊し、極端な場合には、事業や人生を破綻させることも可能なのだ。 （下線は引用者）

今はこういう言い方はスパイウエアを語るときに使われていますね。
ウイルスよりたちが悪い？ スパイウェアにご用心　2003.4.14

スパイウェアは、電子メール・ウイルスとスパムのそれぞれ最も邪悪な部分を合わせもち、コンピューターに入り込んでいろいろな悪さをする小さなプログラムだ。

別居、解雇、逮捕の危険も？――ブラウザーを乗っ取る悪質なスパイウェア 2004.5.14

ブラウザー乗っ取りプログラムは、ブラウザーのスタートページを変えるだけではない。ときに、ユーザーの人生をも狂わせてしまう。

やれやれです。WIRED NEWSの記事は事例を知る上では結構良いのだか表現は大夫割り引いて考えなければいけません。

同じWIRED NEWSにあるウイルス神話」の正体を暴露する男　ウェブサイト『Vミス』のローゼンバーガー氏

メディアがあおるコンピューター・セキュリティー不安のヒステリーを排除したもので、セキュリティー企業自体が間違った情報を流した場合、どんな些細な誤りにも異議を唱えている。・・・情報提供者の話を鵜呑みにしただけで、記者が内容を吟味もせずに「事実」として掲載した場合は、罵倒の対象にするのだ。

の方に声援を送りたいですね。大体スパイウエアってほんとにそんなに危険なの？　・・・と言う話はおいといて。（また後で）

注目すべきはセットの攻撃

一般的に注目すべきは迂闊な犠牲者のＰＣに侵入する手段、汎用ツールとしてTROJ系が使われ、それによって送りこまれて金銭的利益を求める攻撃（荒稼ぎ）をするのがアドウエアとかスパイウエアと呼ばれているものであることが多いと言うことでしょう。もちろん送り込まれた特殊工作員が地下アジトを作り無線機を設置してボットネットワークを構築し、アルカイダのように次ぎの大がかりなテロの足がかりにしていることもかなりの確率であると思います。これは次の「荒稼ぎ」の為の投資です。そういうPCを単なる表面的な対処療法だけで放っておかれることはとても迷惑です。

ウイルス対策ソフトがウイルス（これだっていい加減な名前だ）としてシグニチャを作るのはある程度数が出回るものと「黒」と断定出来ることが条件でしょう。ワーム（ここだけ厳密に）のように一気に増殖し感染を広げるものはすぐにセキュリティ対策ソフト会社に見つかりますからトロイの木馬よりは確実に防御出来ます。シグニチャが出来たあとはですがね。 ・・・と言う話もおいといて。（また後で）

ウイルス対策ソフトはスパイウエアは専門でない？

結果的にはそうです。徐々に変わりつつありますが。

ただしそれはウイルス対策ソフト会社がその方面の技術力が劣るとかそういう問題では無いと思います。作り、悪用するテクニックは両者に差など無いのではないでしょうか？　良い例がこれです。

TROJ_TSADBOT　2000/10/25

米国内の各種コンピューター雑誌などで「スパイウェア」として取り上げられたのを機にウイルス対応リクエストが多く寄せられたため2000年公開のパターン785にて検出に対応いたしました。しかし逆にワクチンソフトによる検出により必要以上の混乱を招くケースが多く見られたこと、また、出所が明確であくまでも不正な目的で作成されたプログラムではないことからパターン788にて対応を取りやめました。御了承下さい。

検出していたのは「CONDUCENT TECHNOLOGIES」社が作成した広告用プログラム"TSADBOT.EXE"です。各種シェアウェアなどでの広告表示用に使用されていたようです。バックグラウンドで動作してインターネットへの接続を検出すると「CONDUCENT TECHNOLOGIES」社のWebサイトに接続し、各種広告をダウンロードして表示。しかもこの広告のダウンロードの際にマシンの使用ＯＳ、ＩＰアドレスのみならずある程度の個人情報までもサーバーに送信してしまう場合もあるとのことですから立派なトロイの木馬でありかつまたスパイウエアでもアドウエアでもありました。

一般的にこのようなプログラムを「スパイウェア」、「アドウェア」と呼ぶ場合があります。 ・・・・
あくまでも不正な目的で作成されたプログラムではありませんので特に対応の必要はありません。ただし、このプログラムの機能を理解した上で使用は不必要とお考えの場合はアンインストールをお勧めします。　（下線は引用者）

苦しい胸の内を察してあげましょう。
企業のリスク管理の一分野にリーガルリスクと言うものがあります。単純に言うと訴訟被害リスクですが、その訴訟被害とは訴訟に負けることによる損害ではなくて、訴訟を起こされることによる損害です。
相手を完全に非合法と決めつけられなければウイルス扱いは難しいのです。個人の善悪の価値判断ではありません。こういうこともあるんですから。

合法か非合法か

「スパイウェア」呼ばわりはダメ――Gator、批判者に法的措置も　2003.10.23

広告ソフト会社の米Gatorは、企業イメージを改善する取り組みの一環として、「スパイウェア」というネガティブな言葉と同社の社名との関連を断ち切るべく法的措置を進めている。今のところ、この戦略は効果を上げている。 こうした「アドウェア」は、より効果的に広告を提示するためという名目で、開発元にユーザーのWebサーフィン習慣に関する情報を報告することがある。「スパイウェア」もこれと同様にWebサーフィン習慣を監視し、広告を表示する。アドウェアとスパイウェアの区別は時に漠然としており、Gatorの名誉毀損訴訟の論点もそこにある。

Gatorって結構悪名高い会社です。 こんな処にまでデカデカと載る ぐらいね。McAfeeのAdware-Gator application　も読んでみると面白いです。わざわざこう書いてあります。

感染方法：不明ですが、トロイの木馬やウイルスではありません。

そして2003/10/31には
「スパイウェア」として知られる米Gatorが社名を「Claria」に変更　
です。

と、このへんがまたややこしいのです。
低俗さの代表選手CWS　の場合、CoolWebSearch com は「信頼できる検索エンジン」をうたう身元の明らかな会社でしたが彼らがCWSと総称されるスパイウエア群を作っているわけではありません。CWSと呼ばれるものを作ってばらまいているのは身元不明です。黒ですね。
迷惑ツールバー『Xupiter』の作者 は名前は判っていますが、実に胡散臭い親子で法廷に引きずり出そうと言う人達もいます。しかしそのヨムトビアン側も2001年7月に、米ベリサイン社が彼らの登録ドメイン名2000件を抹消してしまったとして、650万ドルの賠償金を要求して訴訟を起こしたことがありました。
更にそのヨムトビアン親子の会社（Xupiter.comの所有会社）があるハンガリーの法の下ではXupiterに対処できる方法は無い。つまり黒と言いたいが言えないのです。グレーです。

ところがCONDUCENT TECHNOLOGIES社やGator社に至っては、好き嫌いは別にして明らかに合法的な企業なんです。ＰＣの所有者自ら削除するのは何の問題もなくても、第三者であるトレンドマイクロが自動的に削除すると営業妨害で訴えられます。裁判でも勝てる見込みはありません。だからトレンドマイクロはTROJ_TSADBOT　で出所が明確で不正な目的で作成されたものでは無いと認め対応（削除）を取りやめるしか無かった訳です。

Spybotにも削除機能はありますが、オートプロテクトで自動的に削除するのではなくて一旦は検出だけ、次にPCの持ち主がそれを削除することによって起こりうるリスクを調査、ないしは覚悟した上で自分の意志で削除をします。この違いはとても大きいです。まず幅広に検出したって良いですし、CONDUCENT TECHNOLOGIES社やGator社からSpybot開発元が営業妨害で訴えられることを回避出来ます。

圧倒的な検出力を誇るPestPatrolはちょっとでも不審な動きをするものは全て検出すると豪語していたと思います。そのかわりそれがホントに要らないもの、余計なものなのかは自分で判断しろだったと。と言ってもたしかあれはPestPatrolだったと思うんだけど。違ったかな～。今年日本で販売を開始したスパイウエア検出、ハッキングツール検出ソフトってあれしか無いと思うんだけど。・・・ちと自信無し。来週営業を呼んで聞いてみようかしら。フキフキ "A^^;

発見時の対処は？

私はトロイの木馬として何が検出されるかに最大の重点を置いています。それによってどういう入り方をしたか、何が欠けてていたのかを知る為です。未知であろうが既知であろうがセキュリティホール狙いのような比較的高度な侵入手段はほとんどトロイの木馬として検出されるはずです。少なくとも現在では。

それがバックドアやらダウンローダーであれば迷わずＰＣごと隔離、ディスクの初期化、再インストールですね。なんせ軸足は会社内ですから。PC１台よりLAN全体です。丁度江戸時代の大火で火消しが延焼を防ぐ為に家を壊してしまうのと同じです。

個人で他人の場合はスパイウエアやアドウエア自体はその人間の問題です。煩わしくて嫌なら（嫌でしょうが）苦労して削除すれば良いのです。私の問題ではありません。しかしそのPCがボットネットワーク　を構成するかもしれないとなるとその個人だけの問題では無くなります。ゾンビに襲われて殺された人間がゾンビになっちゃうみたいなもんで、ゾンビになっちゃったらそいつが他の人間を襲います。これは防がなければなりません。

ゾンビに襲われちゃったのは不幸なことですが、ゾンビにやられちゃったのはその人間の落ちども有るわけで、それを何の損失、支出もなしに正常な状態にもどして欲しいなんてそんな虫の良い話はありません。
「ウイルス対策ソフトなんかにお金を払いたくありません」
だったらインターネットなんかにつなぐんじゃねー！
「ディスクの中身が消えちゃうのは嫌なんです」
だったらそうならないように最初からちゃんとしとけよ！

と思いません？

いや、それは私個人の感想ですから他の方が別の対応をされるのは全く、全然かまわないんですが。

防衛は？

スパイウエアの防衛はなにやら難しく考えられているようですが、私はそんなことは無いと思っています。Xupiterはセキュリティホールを突いたと言うような記事もありましたがそれは昔の話です。

WindowsであれIEであれOfficeであれ何であれ最新のバージョンに最新のサービスパックを適用し、セキュリティパッチはその月のうちに更新をする。そしてウイルス対策ソフトも使用する。この条件だけでほとんどのトロイの木馬、及びスパイウエアから逃れられるばずです。今ではマイクロソフトが出し抜かれることは滅多にありません。昔は違うイメージを持たれていましたが、おちついて考えると全てはパッチの当たっていないケースでした。

もちろんまれには出し抜かれることがあります。最近の例ではDownload.Jectですね。つい先ほど踏みました。いや掲示板で相談を受けたんですよ。深呼吸してエイとクリックしたら一気に12回もノートン先生が反応しました。そうしたら最後にDownload.Ject　が、おお、これがあの有名な、、、と感動しましたね。（笑）

• ちなみにどんなサイトかと言うとモロにHな「ずっぽり」画像が！　ここまで来たら行きがけの駄賃に、とまたクリックしたらまたバシバシとノートン先生が反応。IEのセキュリティレベルを「高」にしていたので肝心の「ずっぽり」画像は拡大表示出来ませんでした。コンチキショウとHTMLソースを見たらスクリプトで別のサイトへ飛ばしているではありませんか！　MHTMLRedir.Exploit　計５回、Trojan Horse　１６回、Download.Ject　２回と、あれだけの危険をおかしてやっとたどりついたのに、そのサイトにはお目当てのものは置いていなかったのです。詐欺だー！
  まったくとんでもない嘘つきサイトです。(｀ヘ´) プンプン。
  えっ？　怒る方向が違うだろうって？　(,_'☆＼ ベキバキ

と言う訳でIEのインターネットゾーンのセキュリティレベルを「高」にすることで仮にMS04-025が出る前、ウイルス対策ソフトが対応する前でもDownload.Ject　にやられることは無いはずです。
ただし、IE「高」よりまずはWindowsUpdateですね。

過去の「未対応のセキュリティホール」の顛末についてはまた改めて。

<< 前編　 「ボットネットワークの急増-メール系」 の続きです。>>

目次
今年になってのもう一つの特徴
モリアティ教授クラスと言えばこれぐらい
低俗さの代表選手CWS
プロファイリングその１
プロファイリングその２

今年になってのもう一つの特徴はWEB系でしょう

勤務先ではIEのインターネットゾーンは「高」がルールですし、仕事場ですから社員は怪しげなサイトなんかには行きません。だもんで実務上はあまり気にしていないのですが、世間一般ではこちらの被害の方が多いのかも。

下らないブラウザクラッシャーなんかどうでも良いです。金銭的利益を求める攻撃にシフトはメールからWeb アプリケーションを狙った攻撃の拡大 に軸足を移しているかも、まあ以前との比較の問題ですが。

ストーリーとしてはハイスキルなブラックハッカー（クラッカー）が業務系のサーバに忍び込み重要情報を盗み出すとか、個人相手でも銀行口座のIDやパスワードを盗み大金を盗み取る、なんてのがとっても危険な最重要課題のように見えますが、どうもそんなのは滅多に無いようです。

銀行口座のIDやパスワードを盗み大金を・・・、と言うのは「ハッキング」よりも現実には「フィッシング」ですね。

で、ウイルス及びその周辺での実利指向はスパムとか詐欺メールの為のボットネットワーク構築とあとはアクセスカウントでネット広告代理店？から単価は安いが量によってはかなりの金額になるらしい手数料稼ぎです。あるいは自分の詐欺サイトへの強制連行することもあるかもしれません。

なんか防衛側としては「カッコウのなんじゃら・・」みたいな、はたまたホームズとモリアティ教授の知能戦みたいな正真正銘ブラックハッカーとの攻防の方が空気が入るのに、何でこんな低俗な連中の相手をしなきゃなんないだと思うとほんとに嫌になります。(;-_-X;)

もっともモリアティ教授みたいな正真正銘ブラックハッカーにやってこられたらそれはそれでお手上げなんですがね。フキフキ "A^^;

モリアティ教授クラスと言えばこれぐらい？

６月のDownload.Ject。　どれほどの被害が有ったのかは判りませんが、技術的に有名で、なんと言っても多数の銀行サイトをターゲットとし、こうした銀行の顧客のアカウント情報を盗もうとしていることが判明しました。

Download.Ject は、Internet Explorer の脆弱性を悪用することによって、ファイルをダウンロードし、インストールしようとするトロイの木馬です。Download.Ject はこの操作を、上述の脆弱性を悪用する攻撃コードが含まれている Web サイトをユーザが訪問したときに実行します。
Download.Ject は、Internet Explorer のクロスゾーン・スクリプティングの脆弱性を利用して、モーダルダイアログボックスを通じてリダイレクトおよびスクリプト挿入の遅延を行うことによって、ファイルをダウンロードし、実行します。

実際の被害はどれぐらいあったんでしょうか。少なくとも私には感染数よりもマイクロソフトのセキュリティパッチが後手に回り、4月の MS04-011ではダメで、７月にIEの脆弱性を回避する設定変更用パッチをリリース　しても　Download.Ject問題の根はIEの「セキュリティモデル設計」にある  と突っ込まれ、7/31の臨時増刊号MS04-025 でやっとこさ収まったってことの方が記憶に焼き付いています。
Download.Jectにやられたって相談、有りましたっけ？

このあたりはスパイウエア   2004.9.11 に書きましたが。

低俗さの代表選手CWS

一方、低俗さの代表選手はCWSと総称されるものでしょう。これもスパイウエア   2004.9.11 に書きましたがブラウザーを乗っ取ってポルノをばらまく悪質なスパイウェア　と言う記事が一番判りやすいでしょうか。

CWSはCoolWebSearchの略ですが、CoolWebSearch com は「信頼できる検索エンジン」をうたう身元の明らかな会社です。ただし。

同社はサイト内で、「提携サイト」には「クールウェブサーチ・コム」ドメインに導いた人数に応じて支払いが行なわれると述べている。また、同社からの収入を増やしたいと考えた1つあるいは複数の提携サイトが、乗っ取りプログラムのCWSを作成した可能性があるとの記載も見受けられる。

これが原因だろうと言われています。やっかいなスパイウエア？CWSは「導いた人数に応じた支払」目当てにいろんな人によって作られたものと思われるため、昨日また出てきたBeagle.AVのようなBeagleシリーズとは全く名称の意味が違います。
CWSとはいわば「目的」に対する名前みたいなもので「作り」に対する名前ではありません。別に作りが「高度」だから駆除が難しい訳ではないと私は思います。

プロファイリングその１

迷惑ツールバー『Xupiter』の作者は、ネット界のならず者親子？　2003.2.5

多くのインターネット利用者を困らせているブラウザー用ツールバー・プログラム『Xupiter』は、サイードとその息子ダニエル・ヨムトビアン氏が作り出したものだ。親子はどちらも、自分たちのビジネスを押し売りするための革新的なインターネット利用法を編み出すことに熟練している。
　ドメイン名の登録記録によると、『Xupiter.com』はハンガリーのある会社が所有していることになっているが、本当の所有者はカリフォルニア州シャーマンオークスに住むヨムトビアン親子だと情報筋は述べている。
　ヨムトビアン親子はスパムメールの送付でもよく知られ、他人のメールサーバーを乗っ取ってポルノサイトの広告メールを流しているとして非難されている・・・・ ヨムトビアン氏が所有するサイトのコンテンツは実に多彩で、そのテーマにはセックスが上達するためのトレーニング法や異種生物間に芽生えたロマンスといったものもあれば、インターネットの広告会社、さらにはダライ・ラマの帰国を願うチベットの子どもたちというものまである。だが、これらほぼすべてに共通することが1つだけある。それは、サイトを訪れると同時に、Xupiterツールバーのダウンロードを促すオプションが表示されることだ。

この記事の中にこういう記述も有りました。

　ドメイン登録者に対して、正確な住所やその他の連絡先の提出を義務付ける法的規制はない。中には、この抜け穴を利用して身元を隠したり、他の国では法規制の対象になるかもしれない怪しげなビジネスを行なうために、そうした活動を禁じる法律のない国の住所でドメイン登録をしたりする者もいる。

最近LucaLucaさんとこでちょっと話題になりましたが。いや、したのか？（笑）

ヨムトビアン親子についてはこちらの記事の中にも。

スパイウェア『Xupiter』の追及に2人の高校生が活躍　2003.10.6

プロファイリングその２

スパム業者とクラッカーが結託：追跡不可能なサイトやスパム送信ウイルス開発　2003.10.14

どの記事だったか判らなかったのですがやっと探しあてました。
ポーランドのグループの代表者だというテュバル(Tubul)のインタビュー（？）があります。私が「“攻撃用ネットワーク”が確認される 」の中で

いままでスパムの王様？が50万台の乗っ取りPCリストを持っていると豪語していたって記事は読んだことはあるのですが

と書いたのはこの記事の中の

テュバルによると、彼のグループはトロイの木馬で乗っ取った45万台ものコンピューターをコントロールしているという。その大半は、ウィンドウズを搭載し高速接続を備えた家庭用マシンだ。乗っ取ったシステムには、グループが開発した特殊なソフトウェアをインストールし、それら膨大な数のコンピューターを通して、インターネット・ユーザーと顧客のウェブサイトの間のトラフィックを迂回させる。中継システムの数が多いことでトレースルートなどのツールを混乱させ、サイトの本当の居場所をうまく隠すのだ。

と言う部分からです。45万台は自己申告？ですから法螺かもしれませんが、しかし「1万台を超えるパソコンで構成された“攻撃用ネットワーク”が確認される」なんてことがあったので信憑性は高くなりました。

リンフォード氏は、大量のメールを送信するインターネット・ワーム『フィザー』(Fizzer)は、スパム業者と手を組んだウイルス作者の仕業だと考えている。また、最近出た『ソービッグ』(Sobig)ワームの最初のものは、感染したパソコンをスパム送信のプロキシサーバーにすることを目的としていたというのが、スチュワート氏らの見解だ。

と言うのは私もそう思います。

今年の夏、スチュワート氏はセキュリティー・コンサルタントのリチャード・M・スミス氏とともに調査を行ない、乗っ取られたパソコンがポルノやクレジットカード情報のフィッシングサイトのホスティングに利用された事実を確認している。

と言うのも重要ですね。ちなみにこの記事は去年のものですから「今年の夏」とは去年のことです。

< トロイの木馬とスパイウエア へ続く　>

FTC、スパイウェア問題で「スパム王」を初提訴  速報 2004/10/09 08:05

　米国議会で審議中のスパイウェア規制法案に反対している米連邦取引委員会（FTC）が10月7日、「スパム王」として知られる男性とこの男性が運営する会社を提訴した。スパイウェア問題での提訴は初めて。

う～ん、初めてだったんですか。フキフキ "A^^;
頑張ってください。いやスパム王じゃなくて提訴した方に対してですが。

さらにSmartBotとSeismicはこのポップアップを使い、両社がインストールしたスパイウェアを削除するソフトを販売していた。

やれやれですね。そおいえば以前にスパイウエア検出プログラムがスパイウエアを埋め込んでいたってのがありましたね。聞いたこともないスパイウエア検出プログラムでしたが。
Spybotとかはそんなことありませんから安心してください。あれは「身元の確認できないソフトは能書きが何であれ入れてはいけません！」ってだけの話です。

以前にこんな記事もありました。
「“毒入り”スパイウェア除去ソフトに高まる非難」 2004/02/05
http://www.itmedia.co.jp/news/articles/0402/05/news016.html
記事の中のSpyBan はYukkyさんが示した眠さんの投稿の中にも出てますね。
彼らの目的が何かを考えれば「恐怖に慄く」ほどのことは無いと思いますが。

そういう類のもの一般ではアダ策の「スパイウェアとタイアップしたセキュリティ製品を晒す」
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=one&namber=3683&type=0&space=0&no=2
スレッド全体が参考になると思います。

このサイトが専門店です。「アダルトサイト被害対策の部屋」
http://www.higaitaisaku.com/
解決できるものもあれば出来ないものもありますが。
出来ないものがあるのはこの類が少量多品種でほとんど手作りに近いためです。
ワームのように同じものが何十万とばら撒かれるのであればどのウイルス対策ソフト会社でもそれを発見し分析し防衛することが出来るのですが。

あちらのサイトに相談なさるときは「  【必読】 初めて質問する皆さまへお願いです 」
http://www.higaitaisaku.com/cgi-bin/cbbs.cgi?mode=all&namber=31410&type=0&space=0&no=0
を先に読んで指示通りにしてください。私が笑ったのはこれ

★「WinMX」等　ファイル共有ソフトをすべて削除してない場合はサポート対象外です。
　 http://www.higaitaisaku.com/unknownuser.html
★ウィルス対策ソフトを導入されていない場合は、回答者のサポートが
受けられません。（店頭でパッケージ版を購入して下さい）

私はスパイウエアには素人ですのでどんなものかと言う一般情報しか提供できません。
ご以下は参考まで。

■　ブラウザーを乗っ取ってポルノをばらまく悪質なスパイウェア
http://hotwired.goo.ne.jp/news/news/20040513204.html
スパイウェアに感染？した人は別にエロサイトばかり覗いていた人だけではありません。某巨大掲示板○ｃｈにはそういうトラップが沢山貼ってあります。で、上記は被害者は「別にエロい人ばかりじゃないよ」って例で良く紹介します。

4月最後の日曜日、マリア・デルジオーノさんはとうとうさじを投げた。ノートパソコンの電源を切り、そっと聖母マリア像の下に置いたのだ。
　「もう、こうするしかないと思った」と、曾孫(ひまご)のいる67歳のデルジオーノさんは言う。「コンピューターの中が汚らわしいものでいっぱいになってしまって、恥ずかしくて。なぜおばあちゃんはポルノばっかり見ているのかと、孫たちに聞かれるのよ」・・・・・
CWSのほとんどは、いったん感染してしまうと除去が非常に難しい。マドセン氏は、6種類ほどの有名なアンチウイルス・ソフトウェアを試してみたが、どれもマシンに潜んでいたCWSを検出できなかったそうだ。ベルコム氏が作成したプログラム『CWShredder』も使って除去を試みたが、CWSは再起動のたびに復活してしまうという。

■　「オンラインすり」にご用心――新たなトロイの木馬プログラム見つかる
http://www.itmedia.co.jp/enterprise/articles/0406/30/news028.html

悪質なポップアップウィンドウ経由で自らをインストールし、通常暗号化されている金融情報を被害者のコンピュータから奪うトロイの木馬プログラムが発見されたと、セキュリティ研究者らが29日（米国時間）に警戒を呼びかけた。 ・・・・
Sachsによると、このトロイの木馬は「ある有名ドットコム企業の従業員」のコンピュータ」で最初に発見されたという。この被害者は、悪質なポップアップ広告経由で同プログラムをインストールされた模様だ。こうした悪質なポップアップ広告は、Internet Explorer（IE）にあるヘルパーファイル関連の欠陥を悪用して、自らをユーザーのPCにインストールする。今回のケースでは、コンピュータのセキュリティ設定のおかげで、インストールは失敗に終わった。Microsoftでは、同社がパッチをリリースするまでの間、IEユーザーはセキュリティ設定を「高」にしておくことを薦めている。

セキュリティホールmemo  #20040608_IE　以降この件に関する記事が沢山出ています。Download.Jectです。これもゼロデイアタックのひとつですね。MSは4月に MS04-011パッチを発行したので、パッチを適用しているユーザーには脆弱性はなく、ハッカー集団は未知の「ゼロデイ」セキュリティホールを突いているわけではないと当初は言っていましたが。いろんなケースがありNetwork Associates（現マカフィー）は「パッチを当てていれば危険度は低く（つまりゼロではない）、未パッチならば中程度」と述べていました。
そして2004/07/05　マイクロソフト、IEの脆弱性を回避する設定変更用パッチをリリース　
つまり新しいセキュリティホールがあったことを認め回避策は出しましたがただしこれはセキュリティホールの解消ではなくセキュリティホールのある機能を止めてしまうレジストリ変更ツールで、即座にDownload.Ject問題の根はIEの「セキュリティモデル設計」にある  と突っ込まれます。
ちゃんとセキュリティホールを塞ぐパッチが出たのは2004.7.31 のInternet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025) です。月例ではなく緊急パッチとして出されました。ただしこのセキュリティホールはWindowsXP SP2には最初からありません。私は６月段階でＳＰ２のRC（テストリリース版）で実証コードを動かし確認しました。

■　スパイウェア対策製品を性能比較
http://hotwired.goo.ne.jp/news/news/technology/story/20040811306.html

スパイウェアの状況をザッと見ながら、それへの対策ソフトの外観を知るには良い記事だと思います。

　これらの市販品より優れていたのが、無料でダウンロードできるスパイボットとアド・アウェアだ。両者ともスパイウェア対策のみを目的とした製品で、意図的にインストールしておいた9種類のスパイウェアを跡形もなく消し去った。
　とくに、スパイボットはあらゆるスパイウェアを検出するだけでなく、レジストリ設定の修復も得意とし、スパイウェアに侵入されたマシンを侵入前の状態に戻してくれた。一方、アド・アウェアも立派に仕事をこなしていたが、CWSのあまり知られていない変種に侵入されたときは、完全に修復することができなかった。
　またスパイボットは、インストール以降ずば抜けた能力でコンピューターを新たな侵入から守り、既知のすべてのスパイウェアを完璧にブロックした(テスト中はスパイウェアをインストールするために、スパイボットの機能をわざわざ無効にしなければならなかった)。

これは定説です。私は検出力の比較までは出来ませんがアド・アウェアよりも使いやすいです。
使ってみたいと言う方はこちらをどうぞ。
Spybot1.3によるスパイウェアの除去方法　Spybot1.3のダウンロードとインストール

スパイウエア検出ツールが検出するものは最初は相当数に登ります。完全に安全と思われるも状態でも数個は検出されます。 たいていは削除してしまっても良いのですが、それはあくまで自己責任で。
検出されるもののほとんどはクッキーです。例えばページの脇に広告を掲載し、それを表示、あるいはそこをクリックされる 回数に応じて従量制で掲載サイトに掲載料を払うている代理店 などが埋め込んだクッキーも検出されますがたとえばこれは「インターネ ット・ユーザの活動を追跡」しようとはするものの、多くの場合は特段危険と言うものではありません。
例えばお堅いZDNet や日経ITプロのセキュリティページを参照しただけでDoubleClickのクッキーが入ってきてSpybotに検出されます。まあ、 自分がどんなサイトを見たかＷＥＢ広告屋なんかに教えてやる義理は無いし、それらの中に厄介なものも入り込んでいるといけないのでまとめて削除してしまおうかってぐらいです。

逆に「こいつらバカか！」と思わず某大学のセキュリティ掲示板に書き込んでしまったのがこの記事です。
「コンピュータ1台あたり平均28個のスパイウエアがひそんでいる」，米EarthLink調査　日経IT Pro2004/04/17
検出されたほとんどはアドウエア・クッキーです。前述の通りそんなもん別に怖くもなんともありません。まあ記事の本文はEarthLink社の副社長がこう言ってると言うだけの話で記者が嘘を書いている訳ではないですが。このタイトルじゃ意味のない恐怖心を煽るだけ。