久しぶりにウィルス(トロイ)踏みそうになったので。

私ってPCゲーム買っても「起動時にディスク入れるの面倒」という理由でNoCDPatchを探すことが多いです。ただ、最近はPatchだけ欲しいのに本体まで付いてくる事が多いのが難点(容量デカイ)なのですが…

 

今回も本体が付いてきました。まあ、本体は不要なのでパッチだけ仮想環境でコピーしてVirustotalでウィルスチェック&実行して妙なことにならないかテスト。特に問題なさそうなので現実環境でも…
と、ここで私が使っているAvira AntiVir Premiumが反応しました。

 

内容反応したのはPatchではなくSetup.exeでした。最近のcrackPatchはなぜかISOイメージの中に製品と一緒に置いてあるのが主流で今回もそうだったのですが、ISOイメージのまま仮想環境へ移動、中のPatchだけウィルスチェックしたためSetup.exeはスルー状態でした。


 

日本製の全体として騙すタイプのウィルスは出来が悪く、一見しただけで変なんですがソレに慣れていたせいで気がつきませんでした。
アイコンsetup.exe以外のファイルはPatch含めて全部実物。問題のsetup.exeもアイコンは正しいのがミソ


 

気になるのでもう一度全部仮想環境へ移動してテストしてみました。
Autorun.infから呼ばれてautorun.exeが起動します。ココまでは正しい製品。
autorun.exeはランチャで、ゲームが入っていなければインストール、入っていれば起動や設定を呼び出せるよくあるタイプの物です。ここからsetupを選択するとsetup.exeが動くようです。ここも正しいのですが、肝心のsetup.exeがトロイっと

どうもAntiVirは先読みでウィルスチェックしたのか、実行という動作はしていないのに反応したようです。

比較このトロイ、良くできていてアイコンはもちろん会社名とかも全部正しく入っています。唯一署名は流石に入ってませんでした。

しかもちゃんと動作します。
autorun.exeから呼び出されると、ちゃんと正しいインストール時の背景を表示します。その上で本来ならゲーム機同時にディスク入れてないと出る「製品のディスクを挿入してください」というメッセージを出してきます。しかも本物のSONYのSecuROMのプログラムを使っているのかデザインが同じで、ちゃんと日本語で出ました…


 

トロイまずCDに入っているトロイの検証結果。ほとんどの対策ソフトでスルーです。発見率随一だけど誤爆も多いAntiVir流石です。
日本で売ってる対策ソフトは全滅ですね。


 

ダウンロードそしてこのトロイ、実行されると新たなトロイを自力でダウンロードしてきます。setup.exe自体が管理者権限要求してくるため、許可した場合はすでに昇格してるんじゃないかな…

 

こちらもスルーする対策ソフト多いですね。日本で売ってるヤツで反応してるのはノートンだけな気がします。