インターネットセキュリティー
「Spybot-S&D」
TopPage救急箱ClientMan

ClientMan(ファイアウオールを無効にするソフト) ▼end

Spybot-S&Dのニュース(03/24/2003)に新種のスパイウエアが紹介されています。

★新種ファイルのアップデート

以下、Spybot-S&Dのニュース(03/24/2003 Dr. Kolla)より

通常、私は検索アップデートについて記事を書くことはありません。しかし、今度は、私は追加情報をあなたに通知しようと思います。

ClientManは、新しいMalwareターゲットです。

当初は疑わしいプログラムとして報告しましたが、このプログラムが、ユーザーの同意なしに、ZoneAlarmファイアウォールを 通り抜けることが明白になりました。

このプログラムがインターネットに接続しようとし、ZoneAlarmが起動されて、そのプログラムの接続を許可するか否かのダイアログが表示されると、ClientManは自動的に『Always』チェックボックスをチェックした後に『Yes』ボタンをクリックします。

これによって、このプログラムは、ZoneAlarmのダイアログを表示することもなく、ユーザーに無断でインターネットへのアクセスを許します。

このプログラムは、ZoneAlarmで動作するのみで、OutpostやKerioでは動作しません。

新種のスパイウエアが追加されました。

Latest detection updates(03/24/2003) Normally I don't spend time writing a news article for detection updates, but this time I want to notify you about a addition.
ClientMan is a new Malware target;
first reported as suspicious, it became clear soon that it will pass the ZoneAlarm firewall without user consent.
When it tries to connect to the Internet, and ZoneAlarm displays it's dialog whether the program should be allowed to connect or not, ClientMan will auto-click the 'Yes' button after checking the 'Always' checkbox.
This way, it grants itself Internet Access without the user even noticing more than a short flash of the ZA dialog.
This exploit has only been noticed with ZoneAlarm, not Outpost or Kerio.
Detection has been added.

★症状

  • 「怪しげなソフト」がインストールされそのソフトが勝手に起動される
  • そのパソコンにZone-Alarmがインストールされていると「Zone-Alarm」が起動され確認画面が出る
  • 「怪しげなソフト」は、勝手に「Remember〜」にチェックをいれ、勝手に「はい」をクリックして「怪しげな場所」に接続してしまう
  • それ以降、「怪しげなソフト」は「Zone-Alarm」をフリーパス。
  • 「怪しげなソフト」の名は「ClientMan」だそうです。

対策

  • Spybot-S&Dの最新の「Include」ファイルをダウンロードして、このソフトは駆除できます。
  • 今のところ、この種のスパイウエアが確認されているのはZone-Alarmだけだそうです。「 Outpost」や「Kerio. Detection」のブロックを解除するスパイウエアは未だ発見されていないようです。
  • しかし、今後、この種のソフトが増えることが予想されます。

Zone-Alarmを使っている場合は、設定状況を常時チェックして、不可解な設定がないかチェックする必要が有ります。


説明 ▲Top

通常、ファイアウオールソフトをインストールすると、一旦、全ての外部との更新がブロックされます。

その状態で、例えば、IEを起動し、インターネットと接続しようとするとZone-Alarmの警告画面が表示されます。

この画面で、「Remember this answer the next time I use this program(今後、このソフトの警告を表示しない)」をチェックして「Yes(はい)」をクリックすると、それ以降、IEは承認されたソフトとして登録され、警告画面は表示されずフリーパスになります。

新種のスパイウエアでは、これら一連のキー操作を、勝手に実行し、それ以降フリーパスにしてしまうのです。

Zone-Alarmの登録画面を開き、この種のソフトが登録されていて、「Access」「Internet」が「Allowed」になっていれば、その設定を削除してください。

≪Prev ▲Top Next≫

end