Firefox でアドウェア感染はどのように起こり、どのように除去するのでしょうか?

tag-icon tag-icon firefox security browser adware
Firefox でアドウェア感染はどのように起こり、どのように除去するのでしょうか?

ここ数週間、Windows 8.1 と Firefox V44 を使用しているときに、次のような現象が発生しています。アクティブなアドオンは、Adblock Plus、Flashblock、Norton Identity Safe のみです。

  • まず、Norton Internet Security (セキュリティ面ではすべてが緑色にチェックされ、問題ないことを保証してくれる) が、大量の送信トラフィックが検出されたことを警告します。Power Eraser を実行するかどうか尋ねられます。私はこれを 2 回実行しました。Power Eraser が安全性とセキュリティに果たした役割は、古い Office.exe ツール (Office 2000 あたりから残っているもので、削除を許可しました) と、Powershell でプロファイルを読み込むことを許可するレジストリ設定に腹を立てたことです。それ以来、私は Power Eraser を再び使用していません。
  • 編集: 余談ですが、私は Norton でフルスキャンを実行しようとしましたが、拒否されました。フルスキャンを選択し、実行を選択しましたが、何も起こりませんでした。オプションを表示することもできませんでした。最終的に Norton の診断を実行したところ、再インストールを推奨するメッセージが表示されました。すばらしいことに、緑色の「すべて正常」という文字が大量に表示され、正常に動作していないことすら認識されませんでした。
  • 突然、Firefox が、膨大な数のポップアップ ウィンドウがブロックされたという警告を表示し始めます。
  • いくつかは、それでもこっそりと侵入してきます。通常は、(ネットワーク接続の詳細とともに)「ポップアップ ウィンドウが有効になっています!」と警告し、これを「手伝ってくれる」人に連絡するように勧めてきます。その他は、私がアクセスしているサイトからのサイト調査と思われるもので、奇妙なことに、まったく異なる Web サイトに関連しているにもかかわらず、すべて同じように見えます。

特定のサイト smh.com.au を見ると、状況はさらに悪化しているようです。

おそらく、このポップアップは、ページに表示されている //partners.cmptch dot com を指すこの Flash 要素と関係があると思われますが、確信はありません。

疑わしいフラッシュ要素

ページ全体を通して、特定の単語がクリック可能になっており、常に「powered by DNS Unlocker」となっていることがわかります。次のようになります。

DNS アンロック要素

多くの場合、ブラウザは Akamai を指す実行中のスクリプトを読み込みてしまいます。

Akamai スクリプトのロックアップ

以下は、私の質問のうち、「悪意のあるスパイウェア、マルウェア、アドウェア、ウイルス、トロイの木馬、またはルートキットを PC から削除するにはどうすればよいですか?」という質問とは異なる部分の詳細です。

おかしいのはここです。どこかの誰かがしなければならないこのアドウェアがどのように動作するのかは知りません。しかし、その情報が見つかりません。Web 検索を行うと、アドウェアを「修正」する方法へのリンクが表示されます。これらは必ず、「史上最高のアドウェア対策ソフトウェア」をダウンロードするためのリンクになります。このソフトウェアをダウンロードすると、魔法のようにアドウェアが修正されます。いわゆる「手動」修正がある場合は、検索エンジンのエントリ (非標準のエントリはありません) またはホームページ (Firefox のデフォルトのままです) を削除するか、ブラウザーをリセットします (これは既に実行済みで、Firefox を工場出荷時のデフォルトに戻してから、上記の 2 つのアドオンを再度追加します)。

絶望のあまり、私はついに、いくつかの PC 雑誌で推奨されていたアドウェア対策ツール、AdwCleaner v5.032 を使用することにしました。

実行した結果は次のとおりです:

***** [ Files ] *****

[-] File Deleted : C:\WINDOWS\SysWOW64\vers

...
***** [ Registry ] *****

[-] Key Deleted : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
[-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcm
[-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcr

その結果はどうなったか?まったく何も起こらず、Firefox を開いて SMH サイトに戻ると、すべてが再び始まりました。

だから私はさらに絶望して、今ここにいる誰かサーバーやブラウザ、HTML などについて私よりもはるかに詳しい知識を持つ彼は、これがどのように起こっているのか、そしてその心臓に木の杭を打ち込むために私が何ができるのかについて、ある程度の見当をつけることができます。

はっきり言って... ウェブページの本文にリンクが挿入される... どうやって? そのようなページに Flash コンポーネントが挿入される (ここで起こっているのがそれだと仮定)... どうやって? 実際のページ コンテンツの一部ではない可能性のあるスクリプトが実行される... どうやって? つまり、これらの感染が発生するメカニズムは何ですか? このようなことを知っているのは、ウイルスを拡散する原形質の廃棄物だけではないことは確かです。 それらのウイルスと戦う人々は、そのメカニズムを理解し、したがってそれらを防御し、打ち負かす方法も理解するために、ある程度の努力を払っているに違いありません。

答え1

AdwCleaner ログには、BHO.DLL という名前のものがあったことが示されています。簡単な検索BHO.DLLの場合は、BHO.DLLはスパイウェアです

AdwCleaner で削除できない場合は、ウイルス (単なる古いアドウェアではない) として扱います。

したがって、私は答えをこのコミュニティウィキ言いたくはありませんが、おそらく最善の答えは、Windows を復元することです。

関連情報