CnsMin(China Keyword) - JWORDに感染してみました♪ Part2

文書作成日 2004/4/4
 Inter China Network Software社(3721.comを運営。Yahoo! Holdings(Hong Kong)Ltd.の子会社)の関連企業で、日本語サイトで同種のトラップを配布してる某社のサイトを閲覧してみます。

はじめに

 JWordは3721.comが配布しているCnsMinの日本語バージョンです。
 2002年末の時点ではJWordも、いつの間にかインストールされる・アンインストールできない・インストールするとInternet Explorerが頻繁に固まるツールでした。

 アンインストールするためには、[コントロールパネル] - [プログラムの追加と削除] から [JWord(日本語キーワード)]を選択してアンインストールする必要があります。

 旧コンテンツはこちらです:CnsMin(China Keyword) - JWORDに感染してみました♪(2003)

JWordとアクセスポート社のアナウンスについて

 JWordは3721.comが配布しているChina Keywordの日本語版です。
 日本での配布元の技術情報ページでは、このように書かれています(リンクは貼らないでおきます)。
 「アンインストールが難しい為(略)こちらは以前(JWordプラグインの旧バージョン)はJWordサイト上からの アンインストールしか出来ず」
 「現在のバージョンではJWordプラグインは「コントロールパネル」→ 「アプリケーションの追加と削除」よりアンインストールできるようになっている為、 上記は解決出来たものと考えております。」
 「当社で確認したところ、JWordプラグインの旧バージョン(Ver1.1.3.0)では これらツールでのアンインストールは不完全なため、中途半端にファイルや レジストリキー等が削除され、正常にアンインストールできなくなってしまう 可能性があります。(JWordプラグインの新バージョンVer1.1.9.2ではSpyBot-S&D 1.2にて正常に 削除されることを確認しています)」
 私の記憶とは違います。以前日本での配布元が公式にアナウンスしていたアンインストールの方法をJava Script(アクティブスクリプト)を有効にしてから見てください。
 参考資料: JWordプラグイン(CnsMin)手動削除方法 (未保証)
 弊社にて動作確認を取ったのは、Windows 2000 Pro. / XP Pro. です。
 以前はこの(公式ページで紹介されていた)手順でも、正常にアンインストールできなかったり、Windows 9x系OSではOSが起動できなくなったという報告がありました。
 また現在推奨されている[アプリケーションの追加と削除]か[プログラムの追加と削除]からでも、正常にアンインストールできずにOSが不安定になった報告がネット上にあるみたいです(伝聞です)。

 技術情報のページには、このようなことも書かれています。
 「JWordプラグインをサイト上よりインストールする際に電子証明書にて ユーザー様のご承認を頂いておりますが」
 過去のある時点では、Internet Explorerのセキュリティ設定が低いと、勝手にインストールされました。
 この対策ページでは配布元のサイトからだけではなく、若干のユーザーはジャンクメール経由で感染したのかもしれないと書かれています。3721.comだけが問題で、日本での配布元のアクセスポートは関係ないのかもしれませんけど。

 自動アップデートについても、おかしいところがありました。
 (※ 自動アップデート機能はそのコンピューターがインターネットに 接続されている場合にのみ行われ、インターネットに接続されていない 場合には自動アップデートは行われません。 その際には3日後に再度自動アップデートに挑戦します。)
 配布元のサイトには書かれていませんけど。
 自動アップデートをInternet Explorerの詳細設定から[最新版のリリースが検知されたら自動アップデートを行う]のチェックを外して無効にしているのに、勝手にどこかに接続して自動アップデートがおこなわれる例がありました。

 さらに気になったのは、この部分です。
 「内部に 広告表示用の仕組みや個人特定を目的とするような仕組みは含まれておりません」
 スパイウェアとしての活動、たとえばJWord検索のとき以外に検索キーワードをどこかに送信するのか、パソコンの中に保存されている個人情報を抜いてしまうのか、それはよくわかりません。

JWordのテストのための準備

 そこで、試してみることにしました♪
 JWordとCnsMinの特徴は、わたしの体験と過去の報告例をまとめるとこの3つです。
  1. htmlメール(海外の事例、未確認)もしくは配布サイトを見ただけで、勝手にインストールされる。
  2. 日本版配布サイトの手順に従っても、アンインストールできない。
  3. Internet Explorerが不安定になり、頻繁にフリーズする。
 テストで試すチェックポイントです。
  1. インストールのときに警告は出るの?
  2. 自動アップデート機能の設定は、ユーザーが制御できないような「強制的」なもの?
  3. コントロールパネルからのアンインストールのとき、正常に問題なく削除できるの?
  4. 個人情報をどこかに送信するの?
  5. 検索実行時以外に、過去に検索したキーワードを勝手に送信しませんか?

[注意]
 JWord検索の結果、たとえばスポンサーサイトのほかに表示されるサイトの数・ほんとうに役立つサイトが表示されているのか、などの点も気になりましたけど。わたしの主観が入る可能性がありますから、ここでは書かないことにします・・・
 もし試してみたいひとは、JWord検索で表示されたサイトがGoogle検索でどれだけ高い検索順位なのか、調べてみてください。

 レジストリの変更点を探すため、まるごとregファイル形式で保存しておくことにしました。
 また個人情報や個別のIDなどをどこかに勝手に送信しないか確かめるために、ネットワーク上のフレームをパケットキャプチャソフトで監視しておきます(ソフト名は伏せておきます、Windowsで利用できる有料の製品です)。

 今回の実験ではちょっとした変更を何度も繰り返すので、Virtual PCを使いました。
 アンインストールする前の状態に戻せたのは、このためです。
 Widnows XP Home Editionをセットアップ。Widnows XP SP1を導入しました。表示をクラシックに切り替えたのは、わたしの好みです・・・

 自動アップデートのときになにか起きないかを確かめるために、インストールしてから3日たったあとに、またテストすることにします。

インストールしてみます♪

 それではためして見ましょう!なにごともテストしてみるのは、Tef-Roomのルールです♪
 テストしたパソコンの環境です
 Windows XP Home EditionにSP1を適用し、Widnows Updateは未実行。
 Internet Explorerの設定は、デフォルトのままです。

 [コントロールパネル] - [フォルダオプション]の設定を変更。
 [すべてのファイルとフォルダを表示]にチェックを入れる
 [縮小版をキャッシュしない]にチェックを入れる
 [登録されている拡張子は表示しない]のチェックを外す
 [保護されたオペレーティングシステムファイルを表示しない(推奨)]のチェックを外す

 IEのVersion: 6.0.2800.1106.xpsp1.020828-1920
 更新バージョン:SP1

ActiveXコントロールとプラグイン
 ActiveXコントロールとプラグインの実行
  有効にする
 スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行
  無効にする
 スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行
  有効にする
 署名済みActiveXコントロールのダウンロード
  ダイアログを表示する
 未署名のActiveXコントロールのダウンロード
  無効にする
Microsoft VM
 Javaの許可
  安全性 - 高
スクリプト
 Javaアプレットのスクリプト
  有効にする
 アクティブスクリプト
  有効にする
 スクリプトによる貼り付け処理の許可
  有効にする

 Cokkie、IEのキャッシュと履歴をクリア
 [最近使ったドキュメント、プログラム、Webサイトの記録]をクリア

まずレジストリをエクスポートして、バックアップしました。

 JWord配布元本家のサイトから、ActiveXコントロールをダウンロードします。
[Accessport Inc. からの内容を常に信頼(&A)]にはチェックを入れないで、[はい]を押します。
 インストール後に広告が出てきます。インストール成功?したみたいです。
ここでOSを再起動させました。レジストリをまたバックアップします

インストール後の、Internet Explorerの[オプション] - [詳細設定]です。

Internet Explorerのツールバーに、あやしいアイコンができています。

[注意]
 Internet Explorerのセキュリティの設定が[低]なら、JWord配布元本家のサイトをInternet Explorerで開いただけで、勝手にJWordがインストールされます。

JWordをインストールしたあと、Internet Explorerを起動します

 [Internet Exp.lorerを起動してみます(ホームページは空白に設定しています)。
 アドレス欄に手動でURLを入力しようとしたとき、いきなり[download.jword.jp]に接続していました、でも画面上には何も表示は出ません。
 パケットキャプチャの結果はこのようになります
[Root]
CnsMin=1.1.9.3
CnsMinEx=1.0.1.2

[Add]
CnsMinIO.dll=1.0.4.5
CnsMinSV.dll=1.0.0.8
idnlite.dll=1.0.0.8
CnsMinIdn.dll=1.0.0.2

[Remove]
[CnsMinIO.dll]
Url=http://download.jword.jp/install/download/CnsMinIO.cab

[CnsMinSV.dll]
Url=http://download.jword.jp/install/download/CnsMinSV.cab

[idnlite.dll]
Url=http://download.jword.jp/install/download/idnlite.cab

[CnsMinIdn.dll]
Url=http://download.jword.jp/install/download/CnsMinIdn.cab

 JWordをインストールした直後の状態ではまだ不十分なのでしょうか?
 一度Internet Explorerを起動してJWordを自動更新させると、やっと「十分」な状態になるみたいです。

 もう一度、試してみます。
 JWordをインストールした直後にOSを再起動。
 Internet Explorerのアイコンをマウスで右クリックして、[プロパティ] - [詳細設定]を開きます。
 上の図の[JWord(日本語キーワード)]の項目すべてのチェックを外して、無効にしました。
 アドレス欄に手動でURLを入力しようとしたとき、あやしいポップアップが表示されました。

JWordをインストールしたあとの、レジストリの変更点を探します

 Regファイルの比較には、RegDiff 0.12dを使いました。
 レジストリは丸ごと保存して、保存前にCokkie・IEのキャッシュ・履歴をクリアし、[最近使ったドキュメント、プログラム、Webサイトの記録]をクリアしています。

 [HKEY_CLASSES_ROOT]は[「HKEY_LOCAL_MACHINE\Software\CLASSES」キーのコピーです。
 [HKEY_CURRENT_USER]は[HKEY_USERS\いまログオンしているユーザー]に読み替えてください。

 でも問題が起きました。cnsmin関連ページでよく引用されている、http://www.doxdesk.com/parasite/CnsMin.htmlのリストと一致しません・・・
 リストを転載してみます。赤いキーは今回の実験で確認できなかったものです。
 それぞれのキーは、関連する他のキーやDWORD値を含みます。

HKEY_CLASSES_ROOT\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}
HKEY_CLASSES_ROOT\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
HKEY_CLASSES_ROOT\CnsHelper.CH
HKEY_CLASSES_ROOT\CnsHelper.CH.1
HKEY_CLASSES_ROOT\CnsMinHK.CnsHook
HKEY_CLASSES_ROOT\CnsMinHK.CnsHook.1
HKEY_CURRENT_USER\Software\3721
HKEY_LOCAL_MACHINE\Software\3721
HKEY_LOCAL_MACHINE\Software\InterChina (OSを再起動したあと、JWord検索を試したあとに作成されました)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\!CNS
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CnsMin
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin

 なにか見落としはないでしょうか?
 おっと!JWordを最新の状態に更新し忘れていました・・・
 JWordをインストール後にOSを再起動して、Internet Explorerを起動して、JWordを最新の状態に更新しました。
 インストール前のレジストリと比較して、差分ファイルを作成します。
 わたしが作成したリストはこちらです(JWord関連以外のものも混じっているかもしれません・・・)。

 結果はとっても不思議。
 やっぱりdoxdeskのリストとは合いません・・・
 そしてPestPatrol, IncのCnsMin(2004/4/2更新)のリストとも合いません。
 CLSIDの値が異なりますし、リストに掲載されているキーでも作成されていないものもあります。

 3721.com版とJWord版は、すこし違うのかもしれません。
 日本国内で配布されるJWord版は今回のテストでは直接本家からインストールしましたけど、ソフトウェアにバンドルされているものもあります。
 利用されるレジストリやファイルは、感染経路や時期によって異なるのでしょう。

JWordをインストールして作成されたファイルを探してみます

 2003年6月の実験で、[C:\WINDOWS\Download Program Files]フォルダの中に作成されたフォルダ・ファイルは、直接フォルダを開いても表示されないことがわかりました。

 Internet Explorerの[プロパティ] - [全般] - [設定] - [オブジェクトの表示]を開きます。
おかしいです、日付がとっても古いバージョンですね?
次回の自動アップデートのときに、更新されるのでしょうか・・・

 まずコマンドプロンプトを使ってみましょう。
 [スタート] - [プログラム] - [アクセサリ] -[コマンドプロンプト]から起動します。
 コマンドプロンプトのATTRIBコマンドを使ってみます。
 [attrib -s -h -r "C:\WINNT\Downloaded Program Files"]と入力してみます([-s]はシステム属性(System)の解除、[-h]は隠しファイル属性(Hidden)の解除、[-r]は読み取り専用属性(Read Only)の解除です)。

 [表示] - [詳細]を選択し、[表示] - [詳細] - [詳細表示の設定]で見やすいように整理しました。
この表示は、JWordをインストールした直後にOSを再起動したときのものです。


 JWordをインストールしてOSを再起動したあとにInternet Explorerを起動して、JWordの最初の自動更新をおこなった後ではどうなるのでしょう?

3721フォルダを開いてみます。

JWordを使ってみます♪

 アドレス欄に[TefRoom]と入力してみます。どんな結果になるのでしょう?どきどき。

JWord検索の結果にはでてきませんでした・・・
左ウィンドウがJWord検索、右ウィンドウがJWordと提携している検索ポータル業者の結果です。

 Internet Explorerの[オプション] - [詳細設定]に、項目が増えました。
とりあえず触らないでおきます。

 [アドレスバーにJWord履歴を保存する]という項目がありますけど。
 OSクリーンインストール後、配布元を一度だけ見て、JWord検索を1回ためしたあとなのに。
スポンサー?の項目が表示されています。

(ソースネクストは、セキュリティ対策製品を販売している会社ですよね???)

 OSをここで再起動してみます。
 パケットキャプチャソフトを使って監視してみた結果、不審なトラフィックは見つかりませんでした。

 2004/4月の実験でのパケットキャプチャの結果では、個人情報を送信するスパイウェア活動は監視作業中には観察できませんでした。

JWordをインストールしたあとに、どこかのサイトを見ても安全なの?

 2004/4月の実験では、JWordをインストールしている状態でInternet Explorerを使って3721.com(中国のcnsminの本家です)のサイトに接続したときに、Internet Explorerが固まりました。
 やっぱりなにかかおかしいのでしょう。

検索結果に出てくるサイトは全部、JWordと契約しているの?

 JWord検索で[スパイウェア]と入力してください(Internet Explorerのアドレス欄に、スパイウェアと入力してEnterキーを押します)。

 2004/4/4現在、[スパイウェア]というキーワードは登録可能でした(キーワード空き状況検索結果より)。
 [地図]というキーワードは登録できませんでした、複数のクライアントが同じキーワードで登録できないみたいです。
 ですからスパイウェアというキーワードは未登録で、検索結果の(右ではなく!)左フレームに出てきた2つのページは、JWordを配布している企業がサイト運営者の断りもなく勝手に登録したのでしょう。

JWordをアンインストールしてみます

 配布元ではSpyBotなどのアンチスパイウェアソフトを使った削除は、正常に行われないと発表しています。
 なぜなのでしょう?
 それはJWordのインストールで変更されるレジストリの値を、頻繁に変更しているからなのでしょう。

 JWordをインストールした直後にアンインストールしてみます。
 [コントロールパネル] - [プログラムの追加と削除] から [JWord(日本語キーワード)]をアンインストール。

 ここで不審なトラフィック!
 パソコンが[http://www.3721.com/uninstall/un_ins_c.htm?partner=&fb=1&t=171847]へ勝手に接続しています!
 送信された内容の一部を掲載します。
 [GET /uninstall/un_ins_c.htm?partner=&fb=1&t=171847 HTTP/1.1]
 この6桁の数字は、アンインストール前の状態に戻して繰り返してテストした結果、ランダムでした。


OSの再起動後、JWord関連ファイルは削除されました。

コマンドプロンプトから[attrib -s -h -r "C:\WINNT\Downloaded Program Files"]を
実行したあとなら、このような表示になります。完全に消えてますね。

JWordの自動更新とパソコンの不具合について

 Internet Explorerの詳細設定で[最新版のリリースが検知されたら自動アップデートを行う]の項目を無効にしていていても、勝手に外部に接続する例が過去にありました。

 そしてJWordの自動更新のあとに、パソコンがフリーズする現象が報告されています。
 [コントロールパネル] - [管理ツール] - [イベントビューア] - [アプリケーション]の、Internet ExplorerのApplication Hangというエラーログが起きた時刻と、[C:\WINNT\Downloaded Program Files]の中のJWord関連ファイルの作成日時が一致しているのを、わたし自身が確認したことがありますから、それは間違いない事実ですけど。

 2003/10/29以前にJWordをインストールしていたパソコンだけなのか、それ以後にはじめてインストールしたパソコンでも起きるのか、それはよくわかりません。
 現在ではJWordの過去のバージョンを複数入手してじっくり検証することができませんから、検証は難しいのでしょう。

 2004/4月のテストでは、自動更新の直後にパソコンが固まる現象は確認できませんでした。
 でもInternet Explorerの設定から自動アップデートを禁止するときにどうなるのか、そのテストは十分に行えませんでした。

JWordについてのそのほか

JWord関連ニュース - NEC

 McAfee SecurityCenter で VirusScan を実行するとJWord の一部のファイルが「不要なファイル」と誤検出されてしまう場合の対処方法
 (NEC製品は出荷時に、JWordとVirusScanというアンチウイルスソフトがインストールされています。)
 ここではMcAfee SecurityCenter で VirusScan を実行するとJWord の一部のファイルが「不要なファイル」と誤検出されてしまう場合の対処方法を案内します。
対象機種
 2003年9月製品でVirusScanのエンジンを「4.3.20」以降に更新し、さらにDATファイルを「4.0.4321」以降に更新した環境
 2004年1月製品でVirusScanのDATファイルを「4.0.4321」以降に更新した環境
内容
  上記の環境で VirusScan を「怪しいアプリケーションをスキャン」にチェックが入った状態で実行した場合、JWord の下記ファイルが「不要なファイル」として誤検出される場合があります。
 C:\Windows\downloaded ProgramFiles\CnsMinEx.dll
 C:\Windows\downloaded ProgramFiles\CnsMinSV.dll
 これらは JWord が持つ正常なプログラムであり、不要なファイルではありませんので削除しないようにしてください。
JWord関連ニュース - PestPatrol(アンチスパイウェアソフト)
 PestPatrolテクニカルサポート日本語ページ
 お知らせ -JWordご使用の方及びJWordがプリインストールされたマシンをご使用の方へ−
 JWordをご使用中のウィンドウズマシンに対してPestPatrolでスキャンを行いますと、DLLファイル及びレジストリをペストとして検知いたします。
 これは、PestPatrolがペストとして認識する一部機能がJWordのモジュールに含まれているために検知することが判明いたしました。 ただし、JWordでは広告表示用の仕組みや個人特定を目的とするような仕組みは 一切含まれず、不正な処理も行っていません。安心してご使用ください。
 安心してくださいといわれても・・・素直に信用できません。
 だってPestPatrolの開発元のPestPatrol, Incのページでは、cnsminは(今でも!)悪質ツールとして紹介されていますから・・・
 CnsMin(2004/4/2更新。3721.com経由でのレジストリ・作成されるファイル情報は最新のものです)

トップページウイルス・トロイ・スパイウェアってなに?>CnsMin(China Keyword) - JWORDに感染してみました♪ Part2

ご意見はフォームメールへ
This contents was written by tef_tef.