Babylon感染時の対応について

ユーザ各位

Babylonという呼称のスパイウェアに感染し、駆除ができないという事例があり、調査の結果、現状では明確な再発防止策が難しいことが分かりました。

研究のために本ソフトウエア（翻訳ツール）を購入して利用しているケースが何件か存在するためです。

ここでは、意図せぬ導入で困っている場合や削除したいのに出来ない場合についての対応方法についてお知らせします。

Babylonは危険か？

現時点では明確な情報は分かりません。かつてスパイウェア的な活動をしていたことがあるなどの情報はありますが、真偽を見定めるまでに至っていません。

しかしながら、「許可無くインストールさせようとする」「インストールを隠蔽する」「削除をすることが極めて困難なシステム」になっていること自体、アドウェアやスパイウェアの疑いをかけられても仕方がない状況です。。

Babylonに感染するとどうなる？

実質的な活動は分かりませんが、少なくても下記のことは分かっています。

• ウェブブラウザに削除できないツールバーが作成される
• ウェブブラウザの検索先が強制的にBabylonとなる
• ウェブブラウザの起動時のページが、Babylonのホームページになる

アドオンの削除やツールバーの削除だけでは、削除できないことが特徴です。

Babylonの感染ルートは？

基本的にフリーソフトウェアに紛れ込んでいます。他にもOpenCandy系のスパイウェアも同じですが、ユーザがインストールをすることによって感染するということです。特にオプションとして明示されるわけではなく、通常インストールで勝手にインストールされる場合があります。また、何らかのアドオンに紛れ込んで、紛れ込んだアドオンを利用したウェブサイトにアクセスしたときに、自動的にインストールさせようと試みるケースも確認できました。 これらの手法が重大な問題だと思います。

関連情報

• Moziila Forum

Babylonの削除方法

※下記をしてもレジストリに残ってしまう場合があるようです（下記で活動及びプラグラム本体は停止できます）。
※レジストリから「babylog」関連を直接削除する方法もありますが、その操作ミスでOSが起動しなくなる恐れがあるため、ここでは割愛します（レジストリ編集は自己責任となります）。（2012年10月26日追記）

Step 1. 通常削除

• 通常のソフト削除方法と同様に、Babylon名のソフト（Babylon toolbar等）を削除する
• Firefox等アドオンに入っている「Babylon」名のアドオンをすべて削除し、ブラウザを終了する

Step 2. 起動時のアクセスページを変更する

• それぞれのブラウザの設定から手動で変更します

Step 3. 特殊駆除

（Firefoxのケース）

1. Firefoxのアドレス欄に「about:config」と打ち込み、Firefoxの隠し設定を出す
2. そして、Babylonで検索して出てきた項目すべてに対して、右クリックして「Reset」を選択する
3. Firefoxを再起動し、「１」「２」ですべての項目がResetされるまで繰り返す（リセットされるとボールド文字が通常文字に変更されます）

（Google Chromeのケース）

1. 「スパナ」アイコン→設定を選択
2. 拡張機能を開いて、「Babylon」という名前のついた拡張機能を削除します
3. 「設定」にある「起動時」と「検索」を、それぞれ元に戻します

Step 4. フォルダの削除

• CドライブのProgram Filesフォルダ以下に「Babylon」フォルダがあれば、削除
  ※もし削除できなければ、一度PCを再起動してから再度試してください

Step 5. ツールによる駆除と再発防止策（暫定）

1.  スパイウェア専用駆除ツール「Spybot Search & Destory」をインストールし、このスキャンで出てくるすべてを駆除
2. パソコンを再起動し、再度スキャンを行い、何も出てこないことを確認

Step 5については、Spybot Search & Destoryの導入方法 をご覧下さい。

事前予防

通常は、下記の対策をすることです。
それでも本件のようなトラブルに巻き込まれた場合には、事後対策こそ重要になります。

• セキュリティ対策ソフトの導入と最新版への更新、ウィルス定義を最新にする
• 利用端末のOS、アプリケーションを常に最新にするよう心掛ける

以上の対策についての詳細は、セキュリティチェックの勧め（Windows / Macintosh） に纏めてあるので、ご参考ください。

（特殊）ソフトによって表示される広告をブロックする

コメントにて指摘していただきましたので、追記致します。
ただし少し知識がいりますので、そのあたりはご自身で調べてください。
本手法は、ホスト情報をアクセス不可（0.0.0.0）にし、ソフトが外部ホストから情報を取得や送信ができないようにすることです。設定されたホスト以外とはやり取りできますので、必ずしも充分な対応かどうかはわかりません。

Windowsでの対策

Cドライブ（通常）→ WINDOWS → system32（隠しシステムフォルダ）→ drivers → etc

以下に隠されているhostsファイルをテキストエディタ（メモ帳など）で開き、下記を追加する。

0.0.0.0    widgets.wizebar.com cdn.montiera.com

情報源：http://www.kjclub.com/jp/exchange/theme/read.php?tname=exc_board_65&uid=257809&fid=257809&thread=1000000&idx=1&page=3&number=166229

※hostsファイルは書き込み不可に設定されていますので、一時的に右クリックから所有者に対して編集権限を付与してください。

MacOSXでの対策

「ターミナル」アプリを起動（アプリケーション→ユーリティティ フォルダ内にある）

sudo nano /private/etc/hosts

などUNIX系エディタコマンドを使って下記を追加します。

0.0.0.0    widgets.wizebar.com cdn.montiera.com

nanoの場合には、保存は、Control+xを押したのち「y」をタイプして、そのままEnter（保存先は上書き）。です。保存せず終了は、Control+xを押したのち「n」をタイプします。

情報源：http://webhoric.com/apple/mac/mac-etc-hosts-private

事後対策

2012年6月1日　情報処理室長・木谷
2012年6月4日　追記（Google Chromeでの対応を追加）
2012年10月26日　追記（レジストリにゴミが残ってしまう件について）