まだ終わりじゃなかった「MPC Cleaner」の真の狙いとは?

IT

前回の記事でアドウェア「MPC Cleaner」の削除方法を記載しました。
https://truewalk.net/?p=88

「ゴミの焼却」の章に記載した通り、いくつかのゴミが残ってしまいましたが、結構やば目のゴミがまだ残っていました。

本記事では、やば目のゴミとは何か、なぜやばいのかについて記載したいと思います。




hostsファイルへの追記

MPCが残したやば目のゴミ。

それはhostsファイルの追記内容です。

hostsファイルとは、PCが独立でドメインの名前解決をしたいときに使われるファイルです。

MPCを消去した後に、hostsファイルに情報を追記されていたら怖いなと思い、覗いてみたところ案の定記載されていました。

hostsファイルの場所は以下のパスです。

C:\Windows\System32\drivers\etc\hosts

追記されていた内容は以下です。

–↓hostsファイルに追記されていた内容—-
127.0.0.1 down.baidu2016.com

127.0.0.1 123.sogou.com

127.0.0.1 www.czzsyzgm.com

127.0.0.1 www.czzsyzxl.com

127.0.0.1 union.baidu2019.com
–↑hostsファイルに追記されていた内容—-

IPアドレスがローカルのものなので、MPCを削除した今となっては無意味な記載ではありますが、hostsファイルを勝手に書き換えられるのは恐ろしいことです。その理由は後程説明します。

まずは、追記内容を削除し、上書き保存します。

次に念のため、コマンドプロンプトを開き、以下コマンドを実行しておきます。

ipconfig /flushdns

これはDNSリゾルバーキャッシュを削除するコマンドです。

hostsファイルへの追記がやばい理由

hostsファイルへの追記がやばい理由は、「中間者攻撃型フィッシング詐欺」の手法だからです。

詳しいことを説明すると難しくなるので、簡単に説明します。

例えば、スパイウェアがhostsファイルに以下を追記したとします。

[A(偽)銀行のIPアドレス] [A(本物)銀行のホスト名]
[B(偽)銀行のIPアドレス] [B(本物)銀行のホスト名]
[C(偽)銀行のIPアドレス] [C(本物)銀行のホスト名]
[D(偽)銀行のIPアドレス] [D(本物)銀行のホスト名]

hostsファイルの内容は、DNSサーバの名前解決よりも優先されるため、普段利用している銀行のホームページにアクセスしようとすると、偽のIPアドレスにアクセスしてしまいます。

そして攻撃者は本物そっくりのホームページを偽IPアドレスのサーバに載せておきます。

もし利用者が、偽サイトに気づかずIDとパスワードを入力してしまったら、攻撃者に本物サイトでのIDとパスワードを知られてしまいます。

まとめ

アドウェア「MPC Cleaner」の残したやば目のゴミについて解説しました。

アドウェアやスパイウェアは削除しても油断できません。

hostsファイルは中々の盲点なので、変更されても気づくことは難しいですが、アドウェアやスパイウェアに感染し、駆除した後は必ずチェックしておきたい箇所です。

心当たりのある方は是非チェックしてみてください。

コメント

タイトルとURLをコピーしました