• About
• 被害対策
• マルウェア
• Topics
• FSWiki
• 質問掲示板
• Forum
• HJT DB
• リンク
• CGIで遊ぶ

WinFixer 2005の対処法

WinFixer 2005は、2005年10月頃から大変多くの被害者を出し続けている、典型的な脅迫押し売り型インチキアンチスパイウェアソフトです。
このサイトのフォーラムでも、unknown-userさんを中心に情報や対処法を纏められて来ました

• WinFixer 2005 - 【アダ被】フォーラム

世界中で被害者が続出、怪しい日本語版も「サポート」されているマルウェアです。
類似のもので、最近流行の「WinAntiVirusPRO 2006」についてはとりあえずHJDBの方に纏めてますのでこちらをご参照下さい

• WinAntiVirusPRO 2006 (HJT DB)

WinFixerの問題点

WinFixer自体は良くあるインチキアンチスパイソフトです。このページの後半で述べるように、コントロールパネルからのアンインストールあるいはSpybot S&Dなどで簡単に削除することができます（ただし、ダウンロードされたActiveX関連ファイルの削除は別途行うことを推奨）。

では何が問題か。いくつかポイントを挙げると、

1. 閲覧先のサイト管理者さえ意図していない突然のポップアップが主な感染源となった。
2. インストールの促し方が、極めて脅迫的でありかつしつこい（後述）。
3. スキャンした結果、「問題点」として現れる内容の真偽が疑わしい。
4. Look2MeやVundoなどのタチが悪いマルウェアによってポップアップが出されるケースがある。

となります。さらに、2006年1月に話題になったWMFファイルに対するWindowsの脆弱性を突いてインストールされるケースもあるそうです。

ポップアップについて補足すると、「他の要因で出る『WinFixerの宣伝のポップアップ』」と、「インストールされてしまってからの『WinFixerによる支払いを促すポップアップ』」は違うということを認識しないと、必要以上に大騒ぎしたあげく対策を誤ってしまう恐れがあります。前者の場合はWinFixerではなく個々の原因に対処しないと意味がありません。

3.のWinfixerのインチキぶりに関しては、Lucaさんのサイト「Semplice」に詳細なレポートがあります。

• Semplice:WinFixer2005による脅迫は自作自演

感染ルート

日本での感染者の多くは、Nedstat/webstats4u.comのアクセスカウンタを設置していた、日本人のサイトを閲覧した人であると思われます。

このカウンタなどが原因で、ポップアップや「警告画面」でインストールさせようとします。

そしてどう消そうが次から次へとインストールさせようとする注意画面が出てきます（画像クリックで別窓拡大画面）

（一番上のスキャン画像はFlashアニメだそうです。検出数もランダム）

2006年4月現在、この脅し画面が改訂され「ブラックウォーム」感染とか、「BloodHound Virus」感染などと出るようです。
もちろん大嘘ですのでご注意を（画像クリックで別窓拡大画面）

上の様な画面になってしまうと「うわ、やられた!]と思ってしまいますが、この時点ではまだ感染していません。せいぜいトラッキング cookieを食っている程度です。

ActiveXの警告が現れた時に

「はい」をクリックするとDownloaded Program FilesフォルダにInstall.exeがダウンロードされてしまいます。なお、ActiveXについてはこちらを参照して下さい

• 信頼できないActiveXの警告に絶対に「はい」をクリックしない - 転ばぬ先の杖

ダウンロードが終了するとインストールの承諾画面が出ます。

ここで「承諾」をクリックするとWinFixer 2005本体がインストールされてしまいます。

感染画面

インストール後にスキャンが開始され、数秒後・・・

「重要なエラー」が検出と脅かしてきます。

「今購入」でクレジットカードを用いた支払い画面に進みます（画像クリックで別窓拡大画面）。

もしクレジットカード使用して「購入」された場合は、さらなる被害を避けるためにもクレジット会社へ相談することをお勧めします。

駆除方法

最初に書いた様に、WinFixerの削除自体はコントロールパネルから簡単にできます。こちらを参考に、「WinFixer」とつくプログラムをアンインストールして下さい。

• アプリケーションのアンインストール - 【アダ被の部屋】Wiki

その後、Spybot S&DなどでCookieなどのゴミ掃除を行っておけば大丈夫でしょう。
あるいは、アンインストールせずにいきなりSpybot S&Dで削除することも可能で、関連ファイル/レジストリまで掃除してくれます。

• Spybot S&D 1.4によるスパイウェアの除去方法

ただし、どちらの場合でも「C:\Program Files 内」「C:\Program Files\Common Files」にフォルダが残ります。
エクスプローラなどを使って「WinFixer 2005」を削除してください。

また、ダウンロードされたWinFixerのActiveXは通常見えない場所にインストールされています。こちらを参考に当該ファイルを削除して下さい。

• Downloaded Program Filesフォルダ内の詳細を見る方法 - 【アダ被の部屋】Wiki

削除するファイルは、見える状態になった際に、

の様に現れます。

他の感染による症状

Web閲覧中以外にもWinFixer 2005のポップアップ広告が出てくる場合は、WinFixerのポップアップを出す別のマルウェアに感染している可能性が高いです。

これに対して、ポップアップの出現が特定のサイトを閲覧中のみの場合は、単にそのサイトに仕込まれているポップアップによるものだと思われます。
その場合は、次の「特定のサイト閲覧中のみポップアップが出る場合」を参照して下さい。

質問掲示板で、WinFixerの広告を出すことが確認されているマルウェアの例としては、

• Trojan.Vundo
  • Trojan.Vundoの駆除
  • シマンテック/Trojan.Vundo
  • トレンドマイクロ/TROJ_AGENT.CE
  • McAfee/Vundo.dldr

• Look2Me
  • Look2Me-Destroyerの使い方 - 【アダ被の部屋】Wiki
  • Symantec Security Response - Download.Look2Me

• Spyware.Apropos.C （ステルス系マルウェア）
  • シマンテック/Spyware.Apropos.C
  • F-Secure BlackLight によるステルス系マルウエアの駆除

などがあります。これらは駆除の難易度が高いマルウェアなので、自信のない方は「質問掲示板」への投稿をお勧めします。

特定のサイト閲覧中のみポップアップが出る場合

この場合は、サイトに仕込まれたポップアップが出ているだけと思われます。これを停止するにはSpywareBlasterの導入

• SpywareBlasterによるスパイウェア感染の予防

およびSpybot Ｓ＆Ｄによる免疫が有効です。SpywareBlasterと両方を行うことを推奨します。

• Spybot S&D 1.4によるスパイウェアの除去方法

バージョンアップと類似品の出現

fooさんによると、2006年2月に「WinFixer 2006」およびその類似品が確認されました。「WinAntiVirus2006 Pro」「WinAntiSpyware 2006」です。

• 新作3兄弟･･･らしきモノ - 【アダ被】フォーラム

他の二つがWinFixerと同様のものかの結論はともかく、「同系統」の同じベンダーの製品であるのは間違いないです。

更新履歴

2006.4.23 新作脅し画面を追加
2006.2.4 「バージョンアップと類似品の出現」を追記
2006.1.28 ママ姐さんと一緒に作成したWikiをHTMLに変換してページ作成

【文頭に戻る】

POWERED by