2014年10月21日火曜日

BestDiscountApp(マルウェア)誅滅の件

友人のところのPCがマルウェアに食いつかれた、ということで、救助作業にあたった。
タイトルのBestDiscountAppというやつだったが、検索しても出てくる情報は、駆除方法だと言いつつさらに別のマルウェア食わせようとするような胡散臭い除去ツールくらい。日本語情報はそれの機械翻訳のみ。
なので、とりあえずここに分かった限りの情報を記す。



被害PCの環境

少し前(Phenom II)の自作PC。
OSはWindows 7 Home Premium 64bit。
主に使うブラウザはgoogle chrome。


症状

Google chromeに取り憑いて、表示しているページに広告を割りこませる。
元々表示されるバナー広告に、「PCの処理が遅くなっています」などの不安を煽る広告を上書きする。上書きされる前のバナーがちらっと見える。
また、「インストールされているJavaのバージョンが古い」と警告ポップアップが出て、OKしようが閉じようが、Javaアップデートを偽装したページに飛ばされ(URLが明らかにjava.comではないところ)、ページ閲覧ができない場合がある。
chromeでは、アクセス中のURLがウィンドウ下端に出るが、特にその表示は隠していないようで、明らかに不自然なアドレスへアクセスしているのが見える。

また、chromeのプロファイルが破損しているとの警告が出て、アカウントにログインすることもできていなかった。

タスクマネージャーで怪しいプロセスやサービスを探したが、それらしいものは見当たらず。
msconfigからスタートアップなどを探しても、やはり不審なプログラムは見つけられず。

Internet Explorerでは症状なし。
chromeでのみ症状が出ていることから、拡張機能を疑ったが、こちらはすべて削除済み。

また、chromeの自動更新が「アップデートは管理者によって無効になっています」とあり、バージョンが古いままで止められていた。(記事書いてる時点でVer.38.0.2125.104mだが、Ver.37で止まっていた)

コントロールパネルの「プログラムと機能」には、「BestDiscountApp」が堂々と表示されているが、これはアンインストールを行おうとしても「ブラウザを閉じてもう一度やれ」という旨の表示を出すだけ。
chromeを閉じても、完全にchrome関係のタスクを殺しても、ブラウザを閉じろと言いはるだけで、アンインストールは働かないようだ。
また、chrome自体をアンインストールすることもできなくなっていた。アンインストーラーが走らない。

AdwCleanerでチェックしても、何も見つからず。
Microsoft Security Essencialsのチェックにも掛かっていない。スキャンしてもヒットしない。

対処

セーフモードで起動(起動中にF8キーで起動メニューを出して、セーフモードを選択)して、C:\ProgramData\BestDiscountApp\BestDiscountApp.exe を削除。
その後、「プログラムと機能」からBestDiscountAppの削除を試みると、すでにファイルが削除されているので項目だけ削除できる。
さらに、セーフモードならchromeも削除できるので、一旦削除。

通常起動しなおして、chromeを再インストール。
アカウントにログインしなおして復旧。アップデートが無効にされているとの表示も消えた。

MSEとNortonのオンラインスキャンをかけたが、検出された脅威はなし。

さしあたっては、Windows再起動やchrome再起動などでは再発していない。
これで今後再発しないのであれば、BestDiscountAppはプロセスやサービスとして常駐するものではなくて、chrome自体を書き換えてしまう造りのものと思われる。
アップデートされたり、再インストールされたりしたら感染したのが元に戻ってしまうので、アップデート・アンインストールをブロックしていた、と推定。
さらに経過観察。

感染経路

具体的には特定できないが、やはりフリーウェア経由らしい。
セットアップ時に気をつけて、hao123や百度なんかのインストールを拒否するような、普通のスキルはあるユーザーなので、その程度の対応はしていた。
が、かなりたちの悪い部類のフリーウェアだったようで、ダウンロードページが、偽リンクを含む複数の「Download」ボタンが表示されるようなページ。それで、本来のものとは違うリンクをクリックした上で違うセットアップを走らせてしまったかも、とのこと。

私はもうフリーウェアは、昔から使っている定評のあるものとか(これも突然アドウェア入りに化けることがあるけれど)、SourceForgeにプロジェクトがあるものとか(これも最近アドウェア入れはじめたって揉めてるらしいけど)、窓の杜とかVectorで紹介されてるものとか(これもやっぱり以下略)、くらいしか使わないのだけど、まあ、全部カッコ書きが必要な程度には、何がいつどうなるかわからない。
やな時代になったものだなあ。