YACクリーナーがウイルス定義データ盗用 Malwarebytes糾弾で怪しい評判に拍車？ : 無題なログ

YACクリーナーがウイルス定義データ盗用 Malwarebytes糾弾で怪しい評判に拍車？

日本語版は存在しないけど、ELEX Technology が提供する YAC（Yet Another Cleaner） を名乗ったWindows向けメンテナスソフトが、よく知られたウイルス駆除ツールの1つ Malwarebytes Anti-Malware のウイルス定義データを盗用していた模様です。

米国Malwarebytes社がブログにて決定的な盗用の証拠を提示し糾弾してます。

・ Yet Another Cleaner, Yet Another Stealer - Malwarebytes
https://blog.malwarebytes.com/cybercrime/2015/03/yet-another-cleaner-yet-another-stealer/

これを受けて、セキュリティ製品の品質などをテストして評価を出す認証プログラムを実施してる OPSWAT は、YAC（Yet Another Cleaner）の不正が確認できたため付与していた認証を取り消したそうです。

・ OPSWAT Certification Revoked for YAC - OPSWAT
https://www.opswat.com/blog/opswat-certification-revoked-yac

無害なウイルスを同じ検出名で脅威判定

YACクリーナーが盗用してる事実を炙り出すため、Malwarebytes社は何の変哲もないメッセージボックスを表示するだけの無害な実行ファイル MessageBox.exe を作成しました。

そして、この実行ファイルを Malwarebytes Anti-Malware のウイルス定義データで故意に脅威として判定するようにしておきました。

すると、YACクリーナーはその数時間後に配信されたウイルス定義データで、この無害な実行ファイルをなぜか 同じ名前の脅威 で検出するように…。

＜えぇ

Malwarebytes 「Spywera.Theivingbastards」
　↓ 約２時間後
YAC 「Generic:WIN32/Theivingbastards.c57796f1」

たまたま偶然の一致ではないことをハッキリさせるため、定義名の「Theivingbastards」はわざとスペリングミスしてあるのがポイントで、正しい「thieving bastards」という英語の表現は ”泥棒野郎” という意味のようで。

以前からいわくつきの怪しい評判

YAC（Yet Another Cleaner）を導入すると、Windowsサービスを登録して常駐し、外部ネットワークと目的の分からない不審な通信を行う動作が確認されてます。

また、開発元 ELEX Technology はマルウェアの開発に関与するマッチポンプ業をしていたり、さすがに怪しすぎるので利用を勧めないブログ記事を書いたり。

ブラウザハイジャッカー … ブラウザ起動時のホームページ、新しいタブの表示ページを書き換えて乗っ取る
複数のトロイの木馬 … ブラウザハイジャッカーの削除を阻止したり不審な広告を表示する

○ YAC削除アンインストール方法中国製ブラウザハイジャッカーの背後に潜む黒い世界

盗用というと YAC（Yet Another Cleaner）の公式サイト内には、このソフトの導入を誘導する大量のページが生成されてるけど、その大部分が海外の著名なIT情報サイトのコピーコンテンツ群で成り立ってます。

たとえば、特に多いハウツー系…

《パクリ記事＋機械翻訳を噛ませて日本語化》
www.yac.mx/ja/pc-tech-tips/software/restore-corrupted-excel-file.html

《英語のオリジナル記事》
www.pcadvisor.co.uk/how-to/software/restore-corrupted-excel-file-3449925/

また、「Malwarebytes Anti-Malware」というキーワードでサイト内検索を行うと Bleeping Computer が公開してる偽セキュリティソフトの駆除削除ガイドがヒットします。

site:yac.mx Malwarebytes Anti-Malware

このような行為は「スクレイピング」と呼ばれてる手法で、機械翻訳も噛ませた誘導ページを量産し、その規模はウン十万、ウン百万レベルになっててア然。