スパイウェア
2011年05月02日
Search Settings その8 (矢野芳典氏まとめ)
矢野芳典氏が、新しいバージョンの「Search Settings」について、実にわかりやすく有意義な情報としてまとめて下さいましたので、この場を借りてお礼を申し上げると共に、つたない当ブログですが発表させて頂きます。
=================================================
IObit Toolbar 4.3 = Search Settings 4.3.0.2 = Widgi toolbar 私的まとめ
■概要
いろいろと動作に関して疑義のあるSerch Settingsは2011年に入ってかなり進化。
特にVer 4.3.0.2 はIObit Toolbarに含まれたため。
ごく最近のIObit社製品、Advaned SystemCare 3(3.8.0で特に日本語サポートサイトが出来て以降か?)のインストール時にインストールされる模様。
以前はIObit Toolbarのインストールに関してはチェックボックスなどを入れれば入れる仕様だったが、私は毎回「要らない」としてチェックボックスをはずしていたのに2台のマシンに入っていたので、今は強制インストールされるように変更が加わっているのかもしれない。
ファイルバージョン 4.3.0.2
製品名 Widgi toolbar
著作権 2005-2011 Spigot,inc.
更新日時 2011/01/28 17:36
以前はYahooのIPに向けて情報発信しているとの報告もあり。(現バージョンでは不明)
マルウェア認定しているソフトなどもあるそうだが、現状AVAST! などでは無反応。
なお、このバージョンは64bit の7にも対応しており、以下のような挙動をする。
IE8〜9(64bit):検索サイトに「Yahoo」を登録するが、規定などにせず慎ましやか。
IE8〜9(32bit):検索サイトに「Yahoo」を登録するが、規定などにせず、IObit Toolbarを有効にしようとする。
なお、このバージョンはIEのみならずFireFoxとGoogle Chromeにも対応していた
Google Chromeがインストールされている環境では、Google Chromeに対応するためのファイルもC:\program files/common files/spygot/配下にインストールされる、Operaはインストールされていても特に影響を与えないようだ。Safariは未検証。
■誤った情報(ステルス性について)
某所に「まったくどこにも現れないので、身を潜めるのが巧妙になったか、別の名前のファイル名やプロセス名で起動しているステルス性があるのでは?」と私が記述したが、再インストール実験の結果、
「IObit Toolbar」の名前でインストール情報やスタートアップ、IEのアドオンには現れ、また、プロセス名は依然として「Search Settings」であることが判明した。
私がまったくファイルの痕跡やプロセスをつけられなかったのは、「IObit Toolbar」を「Search Settings」とは無関係と思いながら削除した直後に調べたため。
「よって、Search SettingsはIObit Toolbarという別の名前でインストールされている」が正解でした。
ステルス性があるなどということで、怖がらせてしまったかもしれませんが、割とあからさまにインストールされているようで、私自身も安心しました。
■削除方法
コントロールパネルのプログラムの追加と削除でIObit Toolbarを削除すれば、レジストリにMUIcacheのような瑣末な痕跡6箇所のみを残して、「Seach Settings」本体や関連ファイルも含め、すべてをきれいに消す「行儀の良い」仕様に変更されていた。
■入れていても安全なツールか?(私見)
・一度インストールされても、(その存在にさえ気づけば)削除はかなり簡単になったのでそれほど恐れるものではなくなった
・うちの環境では起動時に何か時間のかかるエラーを吐いたり(そのせいでタスクバー右側の通知領域の表示されるアイコン数が妙に少なくなったり)FireFoxの設定を毎回完全に初期化してしまうという弊害が現れたので、「安定したツール」とは言いがたい。
・「ブラウザの設定や環境を勝手に他のツールに知られないうちに改変したりするのを防ぐ」という名目のツールようだが、行き過ぎて「FireFoxの全設定をプラグインの設定まで毎度まっさらに初期化する」などのことがあったり、そもそもこのツール自体がブラウザの設定を書き換えているので、信用するか否か。
・過去のバージョンでYahooに何らかの情報を送信しているらしい(私のほうでは未確認)という話があり、現バージョンも信用できるのか? だが、Search SettingsのプロセスがOS起動時に外部に接続する仕様はFireWallの挙動にで確認。
・主張するとおりの機能が正常動作をし、なおかつ外部への接続やプロセスへの常駐が「やましいもの」でなければ有用なツールかもしれない。
以上、この2日間ほど、こちらのblog様をお騒がせしましたが、何かの参考になれば幸いです。ここまでSearch Settingsについて記述され、3年も追加情報があるたびに更新されているなどの熱意に感じ入り、ひとところに情報がまとまっている方が良いと思いこちらのblogのコメント欄をお借りしてまとめさせていただきました。
この場を借りて御礼申し上げます。
=================================================
以上、矢野芳典氏によるまとめです。
「Search Settings」により、まだまだ被害(?)を被っている方が多数いらっしゃると思いますので、その方々にとって何らかの手助けになることを願ってやみません。
本当に有難うございました。
2011年04月25日
Search Settings その7 (ニュータイプ)
最新の「Search Settings」について、2011年4月25日に貴重な情報を頂きましたので紹介させて頂きます。
現在の「Search Settings」は、バージョンも1.2.4から4.3.0.2へと随分進化し、どうやらステルス機能を搭載し、身を隠して密かにどこぞへせっせと情報を送っているようです。
「Search Settings」で困っている方は、ヒントになるかと思いますので、一読して頂ければと思います。
コメント書き込みをして頂いた「矢野芳典さん」、貴重な情報有難うございました。
では、以下にコメントを原文ママコピペさせて頂きます。
111. Posted by 矢野芳典 2011年04月25日 16:11
私のほうでのまとめ
2010年までの情報とまったく様相が変わっているようなので私のPC2台でおきていることをまとめてみました
・環境:Windows7 SP1(64bit)+IE9とWindowsXP SP3+IE8
・searchsettings.exeのバージョン:本体ファイルが見つからないために確認できず
・発現時期:このコメントから4日前
・目に見える症状(確認できたもののみ):
1.スタートアップでいきなりエラー起こしたり起こさなかったりして気持ち悪い
2.FireFox4.0の全設定およびアドオンの設定、configまでの設定をOS起動ごとに無効にする(UIが日本語の言語であることまで無効になって英語になる>独自ビルド版に日本語設定ファイルを入れてabout:configで設定した場合)
3.IE8の検索サイトに入れていないYahooがセットされる、規定の検索サイトにはされずgoogle,bingに続き3位の再開設定に慎ましやかに入れている
・プロセス内での存在:タスクマネージャで確認できず
・IE/その他のブラウザでのアドオンとしての存在:確認できず
・スタートアップ、自動実行、インストール/アンインストール情報など:CCleanerでも確認できず
インストールされているフォルダ:
C:¥Program Files¥Search Settingsが存在せずSearch SettingsフォルダもPC内の検索では隠しファイル属性含めても確認できず
・searchsettings.exe本体の所在:
1.PC内の検索では隠しファイル含めても確認できず。
つづく
---------------------------------------------------------------------
112. Posted by 矢野芳典 2011年04月25日 16:14
つづき
・RegEditでの「Searchsettings.exe」の検索結果一覧:
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604
(Search AssistantはMS Officeの検索アシスタント機能のようでここにあるのは怪しい、HKEY_USERSにも同様のキーが存在)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
(C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exeという本来ならばインストール先らしき値が見つかるが、Spigotというフォルダが隠しファイルでもシステム保護属性でも存在しない、HKEY_USERSにも同様のキーが存在)
・疑義のあるアプリ:インストール時期と出現時期がかぶるソフトは現時点で最新バージョンのComodo FireWallもしくは、日本語サポートサイトが始まって以降のIOBit社のツール。(以前のバージョンでは現れていない)
こんなところでしょうか。
要は私のところではまったく陰も形も見えずに毎回起動してくる割には、RegEditでやっと痕跡が出て、その値の指し示すフォルダやファイルが存在しない、というオカルトじみた状態になっています。
考えられるのは、私のPCに入ったバージョンでは(マルウェア的に言えば亜種?)通知領域に現れるプログラム名と、実際に起動するプログラム名が違うのでは? という疑惑。
一応、数少ないレジストリ中の記述であるMuiCacheのキーのみ削除して、SearchSettings.exe起動しなかったら御の字、起動したら数分後に「だめだった」報告をします。
---------------------------------------------------------------------
113. Posted by 矢野芳典 2011年04月25日 16:39
無事起動はしなくなりました。しかし、ファイルやフォルダ本体などの痕跡はまったくは見つかっていないため、謎は深まるばかりです。
削除方法
1.何をしてもSearch Settingsに関するものが見当たらないため、とりあえずTEPMフォルダ内だけは削除。
2.regeditでHKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache内のC:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exeの値を削除、同様にHKEY_USERS内のMUICacheにある同じ値を削除。
3.再起動
ある意味、起動させないだけなら手間は減りましたが、フォルダやプログラム本体のファイルやインストールや自動起動に関するものがまったく見つからず、そのため削除も出来ず、どこかに起動させていたものがまだ潜んでいるはずという事実には驚愕です。
---------------------------------------------------------------------
114. Posted by 矢野芳典 2011年04月25日 17:43
WindowsXPではインストールされているフォルダもファイルすら見つからず謎が深まるばかりでしたが、Windows7 SP1(64bit)ではx86版のProgram Filles/commn files配下にSpigotフォルダがあり存在を確認できました。
Searchsettings.exeのプロファイル情報を下記に記します。
流れからして1.2.4あたりかと思いきや、今年に入ってからの新バージョンでした。
ファイルバージョン 4.3.0.2
製品名 Widgi toolbar
著作権 2005-2011 Spigot,inc.
更新日時 2011/01/28 17:36
同フォルダ内にYahoo_ff.xmlとYahoo_IE.xmlがあり、名前からしてFirefoxにも対応したように見受けられます。
ただし、CCleanerのTOOLを使っても「インストール情報」の項目でSeaqrchSetingが見つからないのはXP同様でした。が、なぜかCClearnerのスタートアップ項目では発見できました。
また、ファイルの実体もWindows 7ではSearchSettingd.exeがタスクマネージャー上で32bitモードで動作しているのが見つかりました。
XPとWindows7とでは、ひょっとすると隠れようとするステルス性能や挙動が違うのかもしれません。
見つかった症状としては、XPのときにもありましたが、IE9の32bit版、64bit版の両方の検索に使うサイトに、自分では設定していないはずのYahoo!が検索用のサイトとして紛れ込んでいる、ただし、google , bing の次、最下位の優先順位としてYahooを設定しているという慎ましやかなものでした、それでも、きっちり最新版のIEや64bit版、さらにはFireFoxに対応と機能面(笑)も進化させているようで、まだまだこのツールは滅びそうな気がしません。
---------------------------------------------------------------------
115. Posted by 矢野芳典 2011年04月25日 17:44
ちなみにうちでは。
・Free Video Converter
・Free Mp3 Wma Converter
などはまったくインストールしていないため、誰が犯人かますますわからなくなっています。
近日、今と同じような感じのアプリ環境でOS再インストールからする予定ですので、怪しいと思わないで入れるアプリやツールでもしもSearch Settingdが再度現れたら報告します。
2009年02月18日
Search Settings その4 なんだか見えてきたぞ!
当ブログに、多くの方が「Search Settings」のキーワード検索結果でいらっしゃいます。
そこで、「Search Settings」について、ある程度分かってきたことを整理しておこうと思います。
以前、「Search Settings」という、勝手に通信を行う得体の知れないInternet Explorerのアドオンソフトを削除した体験記を書きました。(体験記はここです)
そこに、「Search Settings」について「baikinja」さんが実に貴重な情報をコメントしてくれました。
そのコメントを、下記に引用させていただきます。
9. Posted by baikinja 2009年02月14日 10:13
ちょーろーさんが mixi に登録されているかどうか判りませんが、
下記のような日記を書きましたので、参考まで。
http://mixi.jp/view_diary.pl?id=1079820387&owner_id=218348
内容は、下記のようなことが書いてあります。
(1) Search Settings は、http://www.koyotesoft.com/indexEn.htmlのソフトウェアに付いてくる。
我が家では、Free Video Converter に付いてきた。
(2) Search Settings はどうも、放っておくと、explorer.exe を装って、Yahoo! の IPアドレスにアクセスするようになる。
我が家では、「Explorer.EXEがインターネットにアクセスしようとしています」と、Norton Internet Security 2005 が中危険度と警告していた。
アクセス先は、Yahoo! JAPAN の IPアドレス。
Search Settings をアンインストールすると、この現象は、起こらなくなった。
再インストールして再現しようと試みたが、できなかった。
インストールされてから暫く時間を置いて、アクセスし始めるのかもしれない。
この現象が起きたとき、Yahoo! JAPAN の IPアドレスに接続しようとしているというNorton のインターネットアクセス制御警告ウィンドウを Alt+Prnt Scrn して画像を残しておけば良かった。
IPアドレスの所有者を調べるには、WHOIS 検索すれば良い。
http://ja.wikipedia.org/wiki/WHOIS
(3) Search Settings は、
http://www.vendio.com/の製品だが、この Vendio Services, inc. という会社とYahoo! は、多いに関係ありそう。
そして数日後、「Search Settings」が通信しているIPアドレスを突き止めてくれました。それが以下です。
Norton Internet Security 2005 のインターネットアクセス制御警告ウィンドウには、「Explorer.EXE というプログラムが 1921 番のポートを使って124.83.187.182:80 のコンピュータに接続しようとしています。」 と表示され、WHOIS 検索結果は、下記でした。
http://whois.ansi.co.jp/?key=124.83.187.182
上記は、クリックしていただけると明らかですが、紛れもなく「Yahoo」です。
「Search Settings」をインストールされ、無駄な時間を使わされた我々で、「Yahoo」に苦情を入れましょうか。
それから、「やま」さんからも情報のコメントがありました。
「やま」さんの場合、私の時にはなかった以下のようなファイルも見つかったようです。
C:¥Documents and Settings¥ユーザー名¥Local Settings¥
この中にSearch Settingsと言うフォルダがあり、このフォルダを開くとテキストファイルが3つありました。
3ギガとか数百ギガ単位のテキストファイルです。当然開けません。気持悪いので直ぐに削除しました。
ここで、「Search Settings」が付いてくるソフトをまとめます。
・Free Video Converter
・Free Mp3 Wma Converter
両方とも、「Koyote Soft」にたどり着きます。
実験および検証はしていませんが、たぶん「Koyote Soft」のソフトをインストールするともれなく「Search Settings」が付いてくるということが予想できます。
さらに、「Yahoo!を標準検索エンジンにする」と「DealioToolbarをインストールする」も標準でインストールされるようです。
そして、「Dealio Toolbar」と「Search Settings」をググると両方とも「(株)GOGA」にたどり着きます。
また、「baikinja」さんも書いていますが、「Search Settings」は「VEnDIO」という会社のソフトのようです。
この「VEnDIO」と言う会社はリサーチ会社で「ebay」なんかとも関係がありそうです。
以上より、関係すると思われる会社を洗い出してみると次のようになります。
・Yahoo
・KoyoteSoft
・GOGA
・VEnDIO
・ebay
その頂点に立っているのは「Search Settings」が情報を送っている「Yahoo」ではないでしょうか。
なんだか、とてつもなく大きな組織が絡んでいるように思えてきます。
結論
「Yahoo」は、何のために情報を集めているのかは推して知るべしなのですが、許可も得ずに(分かりずらいだけ?)人のPCにソフトウェアをインストールし、PCやインターネットのリソース資源を消費するのは止めていただかなくてはなりません。
我々は便利なソフトがフリーだからと言って気軽にインストールすることは避け、素性のしっかりしたソフトを選別することが必要だと思います。
そして、我々は、インターネットという世界中が繋がったインフラに、自分の意志とは無関係に、自分の個人情報が、いつの間にか流出する危険性を伴って利用していることを忘れてはならないのです。
2009年02月16日
2008年07月12日
Search Settings
いつの間にかインストールされていた、得体の知れないソフトを削除した、体験記です。
最近、「searchsettings.exe」というプログラムが、ネットにつながろうとしていました。
これは、ZoneAlarmを入れているので分かったのです。
「Search Setiings」は、次のようなものでした。
・自分でインストールした覚えはありません。
・プログラムメニューにもあり、虫眼鏡のアイコンです。
・窓の手でみると、自動実行に登録されています。
・プログラムの追加と削除では、「Search Settings 1.2」となっています。
・プログラムの追加と削除では、エラーが出て削除することは出来ません。
・インターネット上では、有用な情報がみつかりません。
・特に実害はありません(気が付いてないだけ?)。
・Ad-Aware、Spybot、ノートンには反応しません。
色々、試行錯誤した結果、IE(Internet Explorer)のアドオンであることが分かりました。
何のためのアドオンなのか分からないし、ストップしても何も問題がないため、削除することにしました。
なにせ、勝手にネットに繋がるような得体の知れないものを、入れておくのはいやですからね。
さて、プログラムの追加と削除では削除できないプログラムをどうやって削除するか、あの手この手を考えました。
■試行錯誤の過程は端折って、削除方法のみを書きます。
1.タスクマネージャ→プロセス→searchsettings.exeを終了
2.ieのツール→アドオンの管理→Search Settingsを無効
3.窓の手で自動実行からSearchsettings.exeを削除
4.窓の手でSearch Settingsのアンインストール情報を削除
5.C:¥Program Files¥Search Settings フォルダを削除
6.C:¥Documents and Settings¥ユーザー名¥Local Settings¥Tempの中を削除
ここまでで、取り敢えず削除はできました。
ここから先は、レジストリエディタを使いますので、読んで分からない方は、やらない方が良いと思います。
また、レジストリを変更する前に、レジストリのバックアップを取っておいた方が良いでしょう。
7.レジストリエディタで「Search Settings」、「searchsettings.exe」をキーワードに検索し、関係するレジストリキーを削除
8.レジストリに「C:¥WINDOWS¥Installer¥????.msi(ファイル名失念)」 というファイル名も見つかるので、それも削除
以上で、完了です。
もし、このプログラムがなんなのか、ご存じの方がいれば教えてください。
※2008.07.30
バックスラッシュの代わりの「¥」マークが表示できていなかったので、修正しました。