【SpyRescue】 Axis スパイウェアって何？ 【誤検知】

　さっそく使ってみたところ、唯一１件『Axis』なるスパイウェアが検出されました。多くの方が入れてるであろうこの手のソフトは特に何も反応してくれず・・・。下の検知情報から調べてみると、「Vector Markup Language (VML)」という処理に関連した正規のレジストリデータのようだと分かりました（Wikipedia）。

Detected Axis:
CLSIDs (1) :
{10072cec-8cc1-11d1-986e-00a0c955b42e}

Registry Keys (2) :
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{10072cec-8cc1-11d1-986e-00a0c955b42e}
HKEY_CLASSES_ROOT\CLSID\{10072cec-8cc1-11d1-986e-00a0c955b42e}

　とほほのVML入門さんのサンプルを元にVML言語をこのページで使ってみました。Internet Explorerブラウザのみの対応で、FirefoxやChromeでは何も表示されませんが、画像ファイルを使ってないにも関わらずイメージ画像を貼りつけたような感じで表示されます。（見れない人用のスクリーンショット画像）

＜ここから↓＞

＜ここまで↑＞

　手元のWindowsパソコンで実際のレジストリを確認すると下のファイルパスと紐付けされてました。これはマイクロソフトによる正規ファイルで、「Vector Markup Language (VML)」の処理を担当してるDLLファイルです。

C:\Program Files\Common Files\Microsoft Shared\VGX\vgx.dll

　スパイウェアガイドの説明ページ（オリジナルページ）では下のような説明になってます。単なるレジストリのデータなのに「トロイの木馬」となってます。 「Tencent QQ」というのは中国で一番普及してるインスタントメッセンジャーです（Wikipedia）。

タイプ: トロイの木馬
危険度: 5 [説明]
コメント: Tencent QQで一般的なオーバフロー エクスプロイトで、リモート アクセスのアカウントを確保するために分布されています。
※ 原文 → This is an overflow exploit that is common in Tencent QQ that allows for the distributor to gain remote access to the account.

　ページ内の右側にある「今月の報告トップ スパイウェア」に目をやると、『Axis』は１位で、２位と比らべて明らかに異常な検知数を示してます。これは何か怪しい〜！、ってことで調べた結果がこのページです。

.

※ 今月：2011年7月 ／ 先月：2011年6月 ／ 先々月：2011年5月

■ 結論 → 2011年6月に修正された脆弱性に関連したレジストリデータの誤検知
　「vgx.dll」ファイルには過去何回か脆弱性（セキュリティ上の欠陥）が発覚していて、2011年6月にも”緊急”レベルでマイクロソフトから修正パッチがリリースされてます。2011年5月時点では０件だったものが、6月になってからの異常な増加は何かの偶然か・・・。『Axis』はこの問題を悪用する何か（スパイウェア？ トロイの木馬？）であると思われます。セキュリティソフトを入れてない人はバスターの体験版でも検出はないでしょう。

• Vector Markup Language の脆弱性により、リモートでコードが実行される (2544521)
• Microsoft Internet Explorer 6 から 8 における任意のコードを実行される脆弱性

■ 除去してしまった場合...
　このレジストリデータを除去してしまうと、Internet Explorer上でVML言語による表示処理が行われなくなってしまいます。VMLは業界標準化されず、行く行くは絶滅する言語のようなので、実害がある人はかなり限定的っぽい感じ？

PR 東芝の直販ショップ − 安い４万円台からノートPCがっ！ ウェブ限定・送料無料