サイト内のエラーログを解析しているうちに、UserAgentに「InetLoader」が含まれる人のサイト内での動向が非常に似通っている事に気が付いたのでメモ。

ブラウザのUserAgentに「InetLoader」を含んだ複数の方が、サイト内でOSリカバリ、再インストール関連、Flash不具合のページを集中的に読んでいるっぽい。何か起きているのかな・・・?

InetLoader

  1. 紙copiをインストールするとUserAgentに「InetLoader」が入るらしい。紙copiは便利で人気のツールだが、一部環境では正常に作動しない事があるらしい。
  2. 2007年頃にInetLoaderと呼ばれるトロイが大流行した事がある。
    PCへのダメージは小さいほうだったが、駆除が面倒なタイプだった。

どちらが原因なんだろう・・・?

このページ

この2点がこのページの主題です。
もし紙copiが原因ならば、しっかりしているメーカーが作っているしすぐに解消すると思うし、大きな問題にはならないと思う。このページの内容は関係ないです。

ウィルスが原因と考えて話を進めますが、あくまで仮説。

追記:
UserAgent 「InetLoader」は紙copiのページ先読み機能で確定っぽい。
このページの内容は全くの杞憂って事に。。。
UserAgent 「InetLoader」で同じような心配をする人のために、残しておく事にします><

概要

このサイトに訪れる人のログを40万IPほど解析して、感染しているPCは4台。
これが多いのか少ないのか判断は難しいのですが、それなりの数の感染者がいると思ってよい。

感染者は、サイト内のPCリカバリTipsや再インストール関連のページを読みふけっています。

   1.ウィルス感染には気付いていないが、PCの異変には気が付いている。
   2.ウィルス感染に気が付いているが、削除が出来ない。
どちらにしても、感染すると大変みたいです。。。

ウィルスだとするなら

TR/Dldr.Small.ddp.28 
たぶんこれ。Trojan-Downloader.などと呼ばれるトロイ。

このウィルスに感染すると、PCをリモートコントロールされ、
勝手にファイルをダウンロードされたり、
怪しいウェブサイトを訪問させられたり、
(悪意を持ってダウンロードしたファイルを)実行されたりします。

サイトオーナーへ:CGIへのアクセスを念入りにチェック

(追記&注意)
※この項目も勘違いっぽい。
※もし紙copiのアクセスならば、ページ先読みをしているだけという事に。
※なので心配するモノじゃ無い。

これに感染したPCでブラウジングを行うと、閲覧中のページに貼られたcgiページにクセスし、何かしらの操作を行おうとしています。
多分パムコメントとかスパムTBとかと思うけど、、、気持ち悪いです。><

感染した場合の削除方法

多分、Windowsをセーフモードで起動してからのウィルススキャンで駆除可能なはず。
CCCというフリーのBot専門の駆除ツールを使うのもアリ。

また、「InetLoader ウィルス」で検索し、過去の駆除方法を調べてみるのも良い考え。「TROJ_SMALL.BYR - 対応方法」多分この方法で削除出来ると思います。

2007年頃から出回っているウィルスのようで、今ならセキュリティソフトでサクっと削除出来るような気もするけど、、、現在出回っているのは削除出来ないのかな?

このウィルスに感染した人からの履歴

UserAgentに「Mozilla/4.0 (Windows; MSIE 8.0; Windows NT 5.1; InetLoader)」などと「InetLoader」の文字が入る。 
Refererに「' $r '」という文字列が入ったりする。 

閲覧しているページのheader内のURLやCGIリンクにアクセスしたり、ダウンロードしたりを行っている。CGIへのアクセスが不気味。

気持ち悪いと思った人はUserAgent InetLoaderでDenyしておく事をお勧めします。