ID: 20150825005227
Subject: DNS Unlockerの手口に関するメモ
Keyword: 【▲→川俣晶の縁側→ソフトウェア→技術雑記】
URL: http://mag.autumn.org/Content.modf?id=20150825005227
本文:
はじめまして、情報ありがとうございます。
自分の場合(Windows7,64bit)、「DNS unlocker 1.3」をコントロールパネルからアンインストールした(してしまった?)のですが、
・インストール日時が、iTunesのアップデートを行ったものと一致していた・iTunesインストールの際、ウイルスセキュリティ(K7)が警告を発した
・DNS unlockerをインストールする際、同様の警告が再発生した
ことから、感染経路としてiTunesを疑っています。
アンインストール後の予想不具合・対策について、引き続き追加情報をいただければ幸甚です。
この話は継続するつもりは無かったのですが、一応分かっている情報だけまとめます。
アンインストール方法として世の中に書かれているものの中には怪しいものもあるのですが、MSのAnswersからもリンクされていたので、おそらくこのあたりが妥当ではないかと思います。
DNS unlockerの手口ですが、DNS乗っ取りを含む複数の方法でWebブラウザをハイジャックして、意図しないサイトにしばしば誘導するようになっているようです。ですから、iTunesがDNS Unlocker入りで配布されている可能性は無いと思いますが、iTunesをダウンロードする際にDNS Unlockerに感染済みのファイルを正規のファイルの代わりに送り込まれた可能性はあり得ると思います。
そのような推定からすれば、おそらくiTunesであるか否かに関係なく、感染していないファイルをダウンロードしようとする振る舞いが、感染したファイルのダウンロードにすり替えられるリスクが存在すると思います。
問題は、コントロールパネルでDNS unlockerがインストールされているかいないかに関係なく、ハイジャックされている状態が存在することで、コントロールパネルで見ることができるDNS unlockerのインストール日時は、本当に感染した日時ではない可能性があると思います。
いずれにしても、常時リダイレクトせず、時々意図しないサイトにリダイレクトするという振る舞いの特徴から、【いつからハイジャックされているか】認識しにくいのが難点だと思います。
対策としては、1つの手口を潰しても他の手口のファイルが残留して悪さをする場合があるので、信頼できるマルウェア対策ソフトで駆除してしまうのが最善だろうと思います。