 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
| Home > SecuTool > X-RayPC | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
| Home > SecuTool > X-RayPC | |||||
XBlockのX-RayPCは非常にコンパクトなSpyware対策ツールである。その特徴は
これだけのツールである。本当に詳細な説明が要るのか?と疑問に思うような簡単操作のツールだが、心配なのは2.で示したタスクの情報をXBlockに送信すると言うこと。
Spyware対策ツールがSpywareなのかもしれないという疑問が残るが、今のところ明確にSpywareであると言う情報は現れていない。筆者がネットワークモニタで観察したところ「Save
Log..」で出力される内容と同じものをサーバに送っていた。個人情報は含まれていないようなので安心して使っている。
まずツールをXBlock.comのhttp://www.x-raypc.com/download.htmlからDownloadする。
Downloadしたファイルは圧縮されているので、解凍を行う。解凍すると「x-raypc.exe」という名前のファイルが1つだけ生成される。実行はこのファイルをクリックするだけだ。
x-raypc.exeを実行する。
画面はこの1つだけ。他に設定画面も実効画面も無い非常にシンプルなツールである。
まず画面には
「プロセスまたはプログラム名」
「ファイルの場所」
「ファイルサイズ」
「種類」
「ファイルのタイプ」
が表示される。
簡単に言うとタスクマネージャの拡張版のような感じだ。
下にある「File Details」は右上の「Detail Section」にチェックを入れていると表示されるファイルの詳細情報で、ファイルの名前、日付、サイズ、ハッシュ値、メーカ名と右側にアイコンが表示される。
「種類」には3タイプがあり
| 種類名 | 説明 |
| Process | 実行中のプロセス。現在メモリー上にロードされているプロセスが表示される |
| AutoStart | 自動実行指定されているプログラム。レジストリのRunなどで指定されている。ウィルスは自身を実行するために自動実行の設定を行うものが多い |
| BHO | ブラウザヘルパーオブジェクト。IEの拡張機能のことでIEを起動すると実行される。トロイの木馬やブラウザハイジャックなど危険なものが存在する |
つまりX-RayPCは現在実行中または実行される予定のプログラムから危険なプロセスを見つけ出して駆除するためのツールである。
また右上にある「Expert Columns」にチェックを入れるとより詳細な内容が表示される。
追加される項目はレジストリの「CLSID」とファイルを起動する情報である「URL」の2つである。
トロイの木馬やSpyware系のものはCLSIDで判断するのが一般的である。
ここまでがHijackThisなどのツールと同じところ。ここからがX-RayPCの特徴的なサーバのデータベースによる解析である。
表示されたプロセスから危険なものを判定する。ために「Online Analyser」ボタンをクリックする。するとIPアドレスが67.15.18.9(USA
ヒューストンのEveryones Internet, Inc)に情報を送信する。ここにはXBlockのサーバがあり、送られてきたプロセス情報を「危険なプロセス情報」のデータベースと照合して結果を送り返してくる。
こちらがサーバからの照合結果を表示した内容。Triageの内容が変っている。
ここで表示される「Triage」の内容は
| Good | 問題が無いプロセス、またはプログラム |
| Known | 問題が無いプロセス、またはプログラム |
| Bad(Suspicious) | 危険なプロセス、またはプログラム |
| Unknown | サーバに該当するものが無い場合 |
| Undetermined | 不明(サーバから該当情報なし) |
危険なプロセスまたはプログラムが発見されたときには該当のプロセスを削除する。
削除は「ゴミ箱」アイコンをクリックするだけだ。
試しにオンラインスキャンを実行するときにDownloadしたActiveXを削除してみる
削除しようとするファイル名がダイアログに表示される。ActiveXの場合は最初に「無効にするか?」という内容。そのあとにファイルの削除と2回ダイアログが表示される。
SpywareをインストールしてBadが表示されるようにしてみた。ここではインストールされたSpywareから自動起動で設定されているモジュールの一覧を表示している。
これらの削除を試みる。
削除前に情報を確認しておく。
右側にSpywareの名前が表示されている。ここでは見難いが「IE Plug-In」と参考のURLとしてSpywareGuideのページが表示されている。
早速削除する
削除(ゴミ箱のクリック)を行うと最初にタスクを無効にするか聞いてくる。これは実行中のタスクはファイルを直接削除することができないからだ
次はファイルの削除
続いて実際のファイルを削除するか?というダイアログ。これでファイルを削除すればSpywreの排除が可能。
この削除処理をBatまたはunknownのプロセスに対して行うだけである。ただしUnknownはサーバによる判定ではないので、自分で危険かどうか判断が必要。
非常に簡単だが、結構な効果が期待できる。ただしまだサーバの危険なプロセス情報が不足している(Unknownが多い)ので、今後使用者が増えてデータベースが充実することが望まれる。
右上の「Save Log..」で出力される内容は画面に表示される内容+IEの設定である。
このログはHijackThisとコンパチブルであると書いてあるので、同じ内容なのだろう。
| Logfile of X-RayPc Build 38285 (Installed 1107903291) Scan saved at 2005/02/22 2:14:48 Registry Settings: IE Start Page (User) : about:blank IE Start Page (Global) : http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home IE Blank Page : C:\WINDOWS\system32\blank.htm IE Default Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome IE Search Page (User) : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IE Search Page (Global) : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IE Default Search : http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HOSTS Directory : %SystemRoot%\System32\drivers\etc Running processes: C:\WINDOWS\system32\services.exe (108032 4a606727565ca4ceac654161e77385bc) C:\WINDOWS\system32\lsass.exe (13312 989c8ac3db69b0dee3aad06c264d4d04) C:\WINDOWS\system32\Ati2evxx.exe (389120 4deaa162480367b232f3ee3a6d34084b) C:\WINDOWS\system32\svchost.exe (14336 5aba1c6a271424661500829458210602) C:\WINDOWS\System32\svchost.exe (14336 5aba1c6a271424661500829458210602) C:\WINDOWS\system32\Ati2evxx.exe (389120 4deaa162480367b232f3ee3a6d34084b) C:\WINDOWS\Explorer.EXE (省略) O2 - BHO: (AcroIEHlprObj Class) - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (63136 42729c3de75a7a51fc6f9ef6546c9199) O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (208952 e5adda74ee7edc5744e16f3e7b8b67a6) O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (455168 024dc0f68df5fd6ae9dd82dfbaf479d6) (省略) O16 - DPF: (DirectAnimation Java Classes)- file://C:\WINDOWS\Java\classes\dajava.cab - C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd (697 5e61262ec8e0940cf774788991219153) O16 - DPF: (Microsoft XML Parser for Java)- file://C:\WINDOWS\Java\classes\xmldso.cab - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd (1162 0f7667aa2dfebb40816a75bfa972166d) (省略) |
IEのスタートページが空白なのは筆者が指定したものなので、決してブラウザハイジャックされたものではない。
インストールしていないので削除も簡単である。
レジストリにはDownload Progaram FilesのActiveXの情報が書き込まれているようだ。次のテキストを"X-Raypc-Del.Reg"(名前は何でも良いが.Regの拡張子にすること)で保存して、結合すればレジストリは削除される(XP-SP2で確認済み)
| Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\X-RayPc] |
[HKEY_USERS]にも同様にX-RayPCのキーが存在するので、regeditで検索して削除してください。
実行中のタスクから情報を得るため、DLLで親を残して、削除しても復活するようなゾンビSpywareには対応ができていないようだ。とりあえずX-RayPCは簡単なSpywareやAdwareなら確実に削除できるが、悪質なSpywareはSpybot S&DやAd-awareなどとレジストリエディタを併用する必要がある。