脅威に対応するには、その脅威の技術について知ることです
脅威への対策

情報データベース
  ホーム
  DNSブラックリスト
  URL ブラックリスト
  アプリケーション
  スパイウェア

対策ソフトウェア
  ITセキュリティ製品マップ
  スパム/迷惑メール対策
  スパイウェア対策
  ウィルス対策
  トロイの木馬対策
  Rootkit対策
  脆弱性監査
  データ保護
  バックアップ
  認証システム

脅威について
  ペスト
  アドウェア
  スパイウェア
  キーロガー
  ウィルス
  ワーム
  ハイジャッカ
  フィッシング/ファーミング
  スパム
  BHO
  トロイの木馬
  BOT
  Rootkit

サポート
  お問い合わせ

関連サイト

 
技術ノート
 
BHO ブラウザヘルパーオブジェクトについて
 
BHOを利用してとても便利な機能を提供することができますが、同時にBHOを利用することで迷惑な行為を行うこともできます。ここではBHOが何であるかということ、またそのように悪用される可能性があるかについて解説します。

まず、BHOとは、Internet Exporer(バージョン4.0以降)の起動時に実行されるプログラムです。このプログラムは、ブラウザの各種イベントを検出したり、メニューやツールバーをアクセスしたり、ブラウザのメッセージ フックして監視したりすることができます。ブラウザのインスタンス毎にロードされ、実行されます。

また、BHOはInternet ExplorerだけでなくActive Desktopからも実行されます。 BHOは、ダイナミック リンクライブラリ(DLL)で自分自身をInternet Explorer、また時にはWindows Explorerに接続します。

BHOに関する技術的な解説は、Microsoft MSNライブラリを参照するとよいでしょう。

しかし、こうした便利な機能も、技術を悪用することで、ユーザをクラックサイトに誘導したり、BHOの機能を利用してユーザのサーフィング行動を監視することになります。
 
 
BHO で何が起こるか
 
実際、BHOプログラムの中は何でもできます。その上ブラウザのイベントをフックすることで、ユーザの操作により目的の動作をすることができます。

ポップアップやサイトのブロッカもこうした機能を利用しています。

以下の画面は、サンプルで作成したBHOです。どんな情報をブラウザからフックできるかが分かるとおもいます。ここでは、読み込んだページのHTMLソース、訪問先URLの履歴、ステータス領域に表示される文字、ファイルのダウンロードなどの情報を見ています。

スパイウェアやトロイの木馬として、BHOが利用される場合、単にBHOとして動作するにではなく、その他のプログラムと共に活動します。例えば、キーロガーなどとの組み合わせることでオンラインバンキングのパスワードを盗もうとすると、

  • BHOで訪問先URLを監視します。
  • 訪問先URLが目的のURL (ターゲットとなるオンラインバンキングのURL)であることを検出したら、キーロガーを起動する

 

URLの監視は、フィッシングやクラックサイトへn誘導にも利用されます。

  • 特定のURLを読み込もうとした場合に、フィッシングサイトにリダイレクトする
  • 特定のURLや、キーワードを入力したら、クラックサイトにリダイレクトする
  • 訪問しているサイトの内容に特定の文字(キーワード)があればリダイレクトする
 
BHO を見つける方法
 
ブラウザに組み込まれたBHOを確認するには、Internet Explorer (SP2)の[ツール]->[アドオンの管理]を開きます。

ここでは、登録されているBHOの一覧と、それぞれを有効、無効にすることができます。

他のツールを使って、例えばHijackThisを使って表示することができます。'O2' HijackThisの識別子がブラウザヘルパ オブジェクトを表しています。

 

レジストリキーとして \HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
の下に、{xxxxxxx}として登録されています。ここには、Enplorerのための登録情報のみが設定されています。

\HKEY_CLASSES_ROOT\CLSID\{xxxxxx} xxxxは、共に同じ値のCLSIDが見つかるはずです。この中には、実際のプログラム(DLL)への情報があります。
手動で削除するには、ファイルの削除と共に、この2つのキーを削除する必要があります。

注意: ブラウザまたはExplorerが実行されている状態では、すでにBHOがメモリ内にロードされてるため、ファイル DLLは削除することができません。一旦ログオフして、ブラウザ、Explorerが起動する前に削除するか、セーフモードで起動して削除する必要があります。

実際悪意のあるBHOでは、単にこれらのキーを削除しても自動的に復帰できる機能を持ったものが見られます。例 Trojan.Puperなど画面上削除しても、別で実行されているプロセスがBHOを監視していて、削除されると、ファイルと共に元の状態(感染状態に)戻してします。

 


2006 Copyrights All rights reserved. nextEDGE Technology K.K.
2006.06.26 更新

 

 
2006, 2008 Copyright nextEDGE Technology, Inc. All Right Reserved.