Intenet Washerというのは、なにやらセキュリティを向上してくれるアプリケーション…のはずなんですが、こんなにいやらしいワナを仕掛けている会社は久しぶりに見ました。このワナを見るだけで、決してまともなアプリケーションでは無いと断言してしまいましょう。無数のワナを仕掛けてなんとか有償版を買わせようとするその姿勢は、まさにスパイウェアそのものと言えるでしょう。また、今のところSpybot S&DやAd-Awareには引っかかって来ないようです。
後述の通り、2003年5月現在、これはUSAのジオシティ(geocities.com)のポップアップに仕込まれており、これからしばらくはこれに関する問い合わせが増えそうなのでこのページを作りました。例によって参考サイトはdoxdesk.comのこのページです。
最近はInternetWasherよりもSystem Soap Proの方の被害を良く見ます。これは、InternetWasherと同じベンダーが同じ手口で引っかけようとして出したアプリケーションです。ひょっとしたらプログラムも同じかもしれません(笑)
System Soap Proの場合は、このページの「InternetWasher」を「System Soap Pro」に読み替えてもらえれば良いです。つまり、
で消えてくれるはずです。後はSpybot S&Dでゴミ掃除をしておきましょう。
なお、にたようなものにBrowserCleanserというものがあります。これについては対処法がちょっと違いますのでこちらをどうぞ
最初は特定のサイトに仕込まれた「ワナ」かと思ったのですが、結論から言うと無料版のgeocities.com(USAのジオシティ)であればどこに行っても、このポップアップが出現します。geocities.co.jp(日本のジオシティ)の場合はバナー広告ですが、USAのgeocities.comの場合はポップアップ広告で、このInternet Washerのポップアップが今は最優先で表示される様です。
このことは、新たにgeocities.comのアカウントを取得して、まだ何も作成されていないindex.htmlを訪問した際にこのポップアップが出たことからも明らかです。
一度「×」を押してキャンセルしてしまえばしばらくは出ないですが、geocitiesのクッキーを削除するとまた出てきます。
Internet Washerに限れば、一度キャンセルされたら一定期間は出ずに、クッキーを参照しながら忘れた頃にまた出るのではないかと推定します。
ちなみにgeocities.comの場合、無料版から有料版(広告無し)にそのままのURLで移行できます。ですので、URLからは無料版なのか有料版なのかを区別することは不可能です。
なお、もちろんgeocitiesだけではなく、他のサイトやスパムなんかからこのポップアップが出される可能性は十分にあります。
まず、これが仕込まれているサイトに行くとこの様なポップアップが出てきます。
貴方のOSがXPの場合(?)はこんな奴が出ます
見てのとおり、通常のポップアップ広告と違い、一見DOSやシステムからのメッセージのような見かけを作っており、見る人の興味を引かせる、あるいは「びびらせる」ことを目的としています。Microsoftうんぬんのところも笑わせてくれますし、既に「Y」ボタンを押したことになってたりするのも笑えます。ちなみに「OK」ボタンが存在するのがDOSではない証拠です。
「Your computer may be recording many or all of your Internet Activites without your knowledge」など、典型的な脅かしの手口です。
とにかくこのウィンドウを見たら、速やかに「×」を押して終了させましょう。それで後は何も心配することはありません。
やらしいことに、このポップアップウィンドウはアクティブウィンドウで現れません。気が付くともう一つIEが立ち上がっていて表示されてるという感じで見つかり、すぐには気が付かないことがあります。これまた何とかシステムからのメッセージと思わせようとしているか、あるいはどこから拾ったか解りにくくするためでしょうか。
一番いやらしいのが、このポップアップの仕掛けです。「OK」ボタンを押せばもちろんですが、実はこのウィンドウのどこを押しても「OK」を押した時と同じことになり、インストールのためのActiveXのダウンロードが開始します。そのときにはこんな画面になります。ここまで来てしまった場合、右上の「×」を押すか、Alt+F4を押すかしてすべてのウィンドウを閉じるのが良いでしょう。
ActiveXのダウンロードが終了してしまうと、IEのセキュリティが「中」の場合下記のような確認メッセージが出ます。
ちなみにIEのセキュリティが「低」の場合、この警告が出ず速やかにダウンロード&インストールまで進んでしまうと思われます。
ここで「いいえ」を押すと、しばらくポップアップが出てなんとか思い直させようとしてきますが、それに負けてはいけません。すべてのウィンドウを無事終了させれば、おそらくスパイウェア等害を及ぼすものは何も残りません。
実際のところ、試しにActiveXのダイアログを「いいえ」でキャンセルして、すべてのウィンドウを閉じた後にC:ドライブとレジストリを検索してみましたが、少なくとも「Washer」を含むファイル、キーは発見できませんでした。唯一出てきたのは「internetwasher.com/」から食ったクッキーだけでした。とりあえず一安心。
もしここでワナにはまってしまって「Yes」を押してしまうと、ダウンロード&インストール画面に変わり、ダウンロードがはじまります(数MBほどのファイルらしい)。そして、いきなり登録画面になります。ここで嫌らしいのは、OEから引っ張ってきた名前とメルアドが自動入力されていることと、メルアド(らしきもの)を入力しないと次に進めないことです。メルアドを入れると次はクレジットカード番号入力画面(!)です。これを入力しないと、例え強制終了させても試用できません。
要するに、3日間は試用できるが、その後「やめた」と言わない限り金を引き落としてしまおうという手口です。とてもまともな会社がやることとは思えません。さすがにここにカード番号を入力して確かめる勇気はないですので、ここで強制終了させてみました。すると、デスクトップにアイコンができていますが、プログラムをダブルクリックするとプログラムは走るものの、いざ「Wash Now」を押すとクレジットカード番号の入力画面に戻ってしまい、入力するまでは使えない様です。
2003.7.6のアップデートでSpybot S&Dが対応しましたので、ゴミ掃除等はSpybot S&Dに任せられそうです。
インターネットに接続後、IEをすべて終了し、コントロールパネルから「アプリケーションの追加と削除」を開き、下記のプログラムが一覧に現れたら削除します。存在しなければそれで良いです。
作業終了後、PCを再起動し、Spybot S&Dで「ゴミ掃除」を行います。これで終了です。
最近(2003年9月)、どうもHijackThisで言うO16にInternetWasherの残骸が残る様です。残骸と言っても馬鹿にはならず、これが残っているとおそらくいつでもInternetWasherのウザいポップアップが再生します。Spybot S&DやAd-Awareもすぐに対応してくると思いますが一応削除方法を。
まずHijackThisのログを取ります。そしてその中のO4とO16をチェックして、そこにもし「InternetWasher」らしきものを見つけたら、HijackThis以外のウィンドウを全て閉じた後削除して、PCを再起動下さい。もしO4に「C:\PROGRAM FILES\INTERNET WASHER PRO」などがあった場合は再起動後このフォルダを削除して下さい。例としてはこんな感じです。
基本的に試用して気に入ったら使い続ければ良いんですが(笑)一応解約ページにリンクを貼っておきます。かなり見つけにくい(というよりサイトから見つけるのは不可能)ですが、フォームとしてはかなり簡単です。試用開始したときに来るメールに書いてある「Activation Order Number」と「Trial Activation Key」を入力して「Deactivate」をクリックするだけです。無事解約されれば、その旨の確認メールが届くはずです。
こちらが実際の例です。メールを送ったら一応キチンと対応してくれました。
初期のInternetWasherのポップアップは、そのまんま「www.internetwasher.com」からのものでした。
サイトさえ特定してしまえば色々な方法でやアプリケーションを使ってこれを防ぐことができるので、おそらくそれが理由で最近は別のサイト名(ドメイン)からこのポップアップを送り込んでくる様です。このサイトの掲示板の主要回答者の一人であるheto2さんの仕事がこれです。
ここでわかったのが、InternetWasherのポップアップのURLが、「http://a.rn11.com/yh/pu/yhgeointpu2.htm」だという事実です。ということは、ポップアップ防止のためには「www.internetwasher.com」の他にもこのURLをブロックしなればいけないということになります。
また、この文書の中でheto2さんはポップアップ防止にIEの「コンテンツアドバイザ」を使うという新しいアイデアも提示されてます。おそらくコンテンツアドバイザをポップアップ防止使おうという発想は初めてではないかと思います。
ただし、おそらく今後どんどんサイト名を変えてくるものと思われます。ポップアップを出しているサイトを突き止めるには、履歴(Historyフォルダ)が有効です。既存のサイトをブロックしているにもかかわらずInternetWasherのポップアップが表示された場合に、履歴を見て見慣れないサイト名があればクリックしてみれば確認することができます。
新しいサイトを見つけられた場合は情報をお待ちしております。
InternetWasherの「変種」としてこの様なポップアップがあります。掲示板でadultさんから報告いただいたものです。
このポップアップは、右下のシステムトレイから、メッセンジャーのお知らせのような形で現れ、InternetWasherをインストール(というよりこの場合はアクティベートと言うべきかも。実は既にPC内にインストールされてますから)されます。
前に書いた「黒画面」や「青画面」と違い、これは一旦インストールしてしまってアンインストールした後に現れます。つまり、InternetWasherをアンインストールしたつもりが、その一部が残っていてこのメッセージを出す訳で、ある意味「InternetWasherに侵略されている」状態です。
ドメインは、「www.internetwasher.com」ではなく「http://alerts.internetwasher.com/」となっているそうです。
完全な除去のためには、コントロールパネルからInternetWasher、zipclix、httperの除去、およびHijackThisのログのO4とO16にあるInternetWasher関係のエントリ(iw.exeなど)を削除すれば良いはずです。
前の章で書いた様に、何らかのポップアップ防止ができるアプリを使って下記のサイトをブロックしてしまえば良いです。今のところ二つです。
ポップアップ防止のアプリとして有効なものには色々あります。例えばタブブラウザ、Proxomitronをはじめ専用アプリ等々。
タブブラウザ推奨委員会の中の「めるてぃの小部屋」を見ると、「タブブラウザによるポップアップ防止は、正確には開いてもすぐ閉じてしまう機能。Proxomitronを使うとポップアップそのものを防止できる」とあります。タブブラウザの方が簡単ですが、Proxomitronを使いこなせればそちらがベターでしょう。スキルとお好みに応じて(笑)選択して下さい。
