Glary UtilitiesやWiseDiskCleanerなどがマルウェアに感染？

　窓の杜に収録していた「Glary Utilities」および「Glary Undelete」旧バージョンのウイルス感染について

　ことの発端は、窓の杜からのこの緊急告知。
　「Glary Utilities」v2.15.0.728、および「Glary Undelete」v1.4.0.211が、“W32.Induc.A”と呼ばれるウイルスに感染していたという告知である。
　現行バージョン「Glary Utilities」v2.15.0.738および「Glary Undelete」v1.5.0.232ではウィルスの感染は無いとのことだが、過去に両ソフトの該当バージョンをDLしていた場合には、一度PC内の全体スキャンを……とのことである。
「Glary Undelete」については、使用頻度が低いせいもあってか、私のPCにインストールされていたのは、該当のバージョンよりもさらに古いバージョンだったので問題なさそうなのだが。「Glary Utilities」については、最新バージョンをインストールしていたので、念のため、両ソフトを一度アンインストールし、（ウィルス検索をした後で）再インストールすることにした。

　まあ、ここまでは良かった。（窓の杜収録のソフトのウィルス感染という事態に関してはまったくもって良くないわけだが……）

　「Glary Utilities」および「Graly Undelete」をアンインストール後、A-Squared Freeで全体スキャンを実行、すると今度は「WiseDiskCleaner」において“Virus.Win32.Induc”が検出された。
　これ如何に……と思いGoogle先生に聞いてみると２ちゃんねるの該当スレッドでも同じ現象について話題に上がっている様子だ。


レジストリの掃除・最適化 Part34

365 名前：名無し~3.EXE[sage] 投稿日：2009/08/20(木) 01:38:57 ID:IbHKI3qu
>>356
avast!だけど、一昨日までは反応しなかったのに
さっきスキャンしたらウィルスとして検出した（笑）
一応、誤検出として本体.exeを送った。

366 名前：名無し~3.EXE[sage] 投稿日：2009/08/20(木) 03:46:56 ID:AbG4M85w
Wise Disk Cleaner 4 Free(＆Wise Registry Cleaner)も、
365と同じく今までは何ともなかったのに
avast!（VPS Ver. 090818-0, 2009/08/18）がWin32:Inducを今日検出。
VirusTotalで再検査してみたんだが結局よくわからないので隔離。
これはウィルスなのかしら。詳しい人教えてください。

ファイル名 WiseDiskCleaner._xe 受理 2009.08.19 11:20:20 (UTC)
現在の状態： 完了

結果: 10/41 (24.39%)

AntiVir 7.9.1.3 2009.08.19 W32/Induc.A
Avast 4.8.1335.0 2009.08.18 Win32:Induc
CAT-QuickHeal 10.00 2009.08.19 (Suspicious) - DNAScan
DrWeb 5.0.0.12182 2009.08.19 Win32.Induc
GData 19 2009.08.19 Win32:Induc
Microsoft 1.4903 2009.08.19 Virus:Win32/Induc.A
NOD32 4347 2009.08.19 a variant of Win32/Induc.A
Sophos 4.44.0 2009.08.19 W32/Induc-A
Sunbelt 3.2.1858.2 2009.08.19 Trojan.Win32.Malware
Symantec 1.4.4.12 2009.08.19 W32.Induc.A


367 名前：名無し~3.EXE[sage] 投稿日：2009/08/20(木) 15:09:12 ID:jQatgUiJ
>>366
Avira AntiVirスレでも検出されて起動不可になったと報告ある
ウチでは両方とも問題なく利用可能なんだけど

Avira AntiVir 定義ファイル VDF 7.01.05.138
Wise Disk Cleaner 4.63 build 198
Wise Registry Cleaner 4.66 build 211

368 名前：名無し~3.EXE[sage] 投稿日：2009/08/20(木) 20:09:51 ID:CLvTjcqo
>>366
多分これだと思う。
http://headlines.yahoo.co.jp/hl?a=20090820-00000031-zdn_ep-sci


370 名前：名無し~3.EXE[sage] 投稿日：2009/08/20(木) 21:06:12 ID:yj2lw+y2
　最近、Delphiを標的としたマルウェアにより使用されている、興味深い動きが発見された。

　同マルウェアは始めに、Delphiのバージョンが4から7までの間であるかどうかをチェックし、次に$DELPHI_DIR$\source\rtl\sys\SysConsts.pasを入れ替え、悪意あるコードを書き込む。その後にSysConsts.pasは削除される。

　このマルウェアは、SysConsts.dcuのクリーンなコピーをSysConst.bakとして保存し、SysConsts.dcuライブラリのエントリーポイントで、それ自身のイニット・ファンクションにコールを追加する。

　プログラムが感染したバージョンのSysConsts.dcuでコンパイルされると、以下のような悪意あるコードの断片のようなものが混入する：
　その後は、コンパイル済みのプログラムが実行されると、SysConst.bakが見あたらなければ、プログラム中の悪意あるコードがDelphiを再感染させようとする。

　この場合、同マルウェアは基本的に、Delphiを確実に感染させておこうとしているわけだが、このようなメカニズムは、マルウェアを拡散させる目的で修正することも可能だ。

　我々は現在、同マルウェアを「Virus.Win32.Induc.a」として検出している。

　同様の発見が以下でも報告されている：http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html （ロシア語）


ttp://blog.f-secure.jp/archives/50263100.html
いくつか上に張られたのも読む気ないなら聞くな。ＬＡＮ抜けよ。

　ロシア語は全く理解できないので置いておくとして、誘導されたURLの記事によると、Delphiというアプリケーション開発ツールで開発されたプログラムのソースコードに感染するタイプのマルウェア（Induc）が出回っていて、このInduc自体は1年以上前から出回っていたらしいのだが、最近になって有名ソフトや人気ソフトにも感染しだしたらしい。
　そもそもアプリケーション開発なんてできない私にとってはDelphiからして、なにそれおいしいの？状態なのだが、日ごろお世話になっているソフトたちはDelphiあってこそなのだなということは認識。

　「Glary Utilities」及び「Glary Undelete」については既に最新バージョンで対応済みのようだが、「WiseDiskCleaner」及び、「WiseRegistryCleaner」について、Vectorのダウンロードページでは「※このソフトは、検査のため一時的にダウンロードサービスを停止しています。」と表示され、ダウンロードできない状態になっている模様。
　使用頻度の高いソフトというわけではないけれど、使えないとなると不満になってしまうのは人間の心理なのかね……