解析者: Francis Xavier Antazo   
 別名:

Win32/Adware.SuperFish.A (NOD32), Adware.SuperFish (Symantec)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    アドウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成

トレンドマイクロは、このアドウェアをNoteworthy(要注意)に分類しました。

アドウェアは、2014年9月から12月の間に販売されたLenovo社の特定のラップトップ型モデルに実装されて侵入します。アドウェアは、「Man-In-The-Middle(中間者)攻撃」の実行を補助する可能性があります。

アドウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

  詳細

ファイルサイズ 1,349,936 bytes
タイプ EXE
メモリ常駐 はい
発見日 2015年2月20日

侵入方法

アドウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

インストール

アドウェアは、以下のファイルを作成します。

  • %User Temp%\VisualDiscoveryr.log

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

情報漏えい

アドウェアは、以下の情報を収集します。

  • Path of malware execution
  • PID of malware process
  • OS Version

その他

アドウェアが、収集する情報は、以下のとおりです。

  • アドウェア実行のパス
  • アドウェアのプロセスのプロセスID
  • OSのバージョン

アドウェアは、自身の署名によるルート証明書をインストールし、「Man-In-The-Middle(中間者)攻撃」に対し、コンピュータを脆弱にします。

アドウェアは、このルート証明書を利用して、HTTP(S)による通信を傍受します。

  対応方法

対応検索エンジン: 9.700

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

起動中ブラウザのウインドウを全て閉じてください。

手順 3

自身のアンインストールオプションを使用し、「ADW_SUPERFISH」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\VisualDiscoveryr.log

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_SUPERFISH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:

以下の手順にしたがって、証明書を手動で削除します。

Windows 8の場合:

  1. "コンピュータの証明書の管理"を検索します。
  2. Windowsのプロンプトによる変更許可のメッセージ("次のプログラムにこのコンピュータへの変更を許可しますか?")が表示されたら、[はい]をクリック。
  3. 画面が左パネルと右パネルとに分割されている、証明書管理ウィンドウが表示されます。
  4. この証明書管理アプリケーション上で、左パネルにある[信頼されたルート証明機関]を選択。
  5. 直下の[証明書]をクリック。
  6. 右パネルで、"Superfish, Inc."の値を確認します。
  7. "Superfish Inc."上で右クリックし、[削除]を選択。
  8. 証明書削除の確認画面のウィンドウ("ルート証明書を削除…")が表示されたら、[はい]をクリック。
  9. 選択された証明書が削除されます。
  10. コンピュータを再起動します。

他のOSのバージョンの場合:

Internet Explorer 5、5.01および5.5の場合:

  1. "Internet Explorer"のツールバーで、[ツール] - [インターネットオプション]と選択。
  2. [インターネットオプション] 画面で、 [コンテンツ] - [証明書] - [信頼されたルート証明機関]と選択。
  3. "Superflash, Inc."の証明書を選択し、 [エクスポート] - [はい]をクリック。
  4. 表示される手順に従ってください。
  5. [信頼されたルート証明機関]を選択。
  6. "Superflash, Inc."の証明書 - [削除] - [はい]をクリック。
  7. [閉じる] - [OK]をクリック。
  8. "Internet Explorer"を再起動します。

Internet Explorer 4.x の場合:

  1. "Internet Explorer"のツールバーで、[表示]- [オプション] - [コンテンツ] - [証明書]と選択。
  2. "Superflash, Inc."の証明書を選択し、[削除] - [はい]をクリック。
  3. [閉じる] - [OK]をクリック。
  4. "Internet Explorer"を再起動します。

Firefox または Thunderbird の場合:

  1. Firefox/Thunderbirdのツールバーで、[ツール] - [オプション] - [詳細] - [証明書]を選択。
  2. [証明書を表示]をクリック。 .
  3. [認証局証明書]タブを選択し、スクロールして"SuperFish, Inc."を確認する。
  4. "SuperFish, Inc."および"Software Security Device"の両方を含む列を選択。
  5. [削除または信頼しない]を選択し、[OK]をクリック。
  6. コンピュータを再起動します。

Lenovo社は、自動でSuperfishをアンインストールするツールを公開しました。手順については、以下のLenovo社のサポートページを参照してください。


ご利用はいかがでしたか? アンケートにご協力ください