Adware.Win32.CsdiMonetize.AS
Trojan.Win32.Generic!BT (Sunbelt)
Windows
- マルウェアタイプ: アドウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
アドウェアは、以下のプロセスを追加します。
- "%User Temp%\is-QOUMI.tmp\{malware file name}.tmp" /SL5="$2016E,4220820,153600,{malware file path and name}"
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:275457 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:209941 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:865289 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:1127432 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:1127446 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:799795 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:799818 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:2307098 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:1193035 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:799871 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:2765877 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:3496 CREDAT:275457 /prefetch:2
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
アドウェアは、以下のフォルダを作成します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %Application Data%\Microsoft\Windows\IECompatUACache
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %Application Data%\Microsoft\Windows\IECompatCache
- %User Temp%\is-IAN4H.tmp\_isetup
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Microsoft\Windows\PrivacIE
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
アドウェアは、以下のファイルを削除します。
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
アドウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
アドウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Owner = "\xa4\x08\x00\x00\x8aj\x11OK\xd5\x01"
HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
SessionHash = "\xa5r\xcc\xd3.g\xd2\xbb\xa9r\x0cT\xa6#\xaac v\xb9\xfeu8\xbc\x0bo+\xa4 \x88J`\xe6"
HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Sequence = "1"
作成活動
アドウェアは、以下のファイルを作成します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{D689F1C1-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{620314D7-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{7FEA5E48-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{8BDD2688-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{6E126D9B-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{C7F7E574-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{79ED6818-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{514668A0-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\psvince.dll
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{B60CE9C4-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{6E126D9D-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{85E291B8-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{AA1A2183-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{714A09BA-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{D0589D4A-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\itdownload.dll
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{67FDA9A7-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{5146689D-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{5146689F-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{BC051D33-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\_isetup\_isdecmp.dll
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{97D25029-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\idp.dll
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{9DCCE4F9-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{91D7BB59-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{C1FFB204-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{A3C51869-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{714A09BB-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{B014B654-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{5C0AE167-B742-11E9-9350-005056BC5B9B}.dat
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
その他
アドウェアは、以下の不正なWebサイトにアクセスします。
- http://go.{BLOCKED}oft.com
- http://{BLOCKED}dcaster.com
- http://api.{BLOCKED}g.com
- http://www.{BLOCKED}g.com
- http://sqm.{BLOCKED}try.microsoft.com
- http://ieonline.{BLOCKED}oft.com
- {BLOCKED}128.161
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「Adware.Win32.CsdiMonetize.AS」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\RestartManager
- Session0000
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
- Owner = "\xa4\x08\x00\x00\x8aj\x11OK\xd5\x01"
- In HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
- SessionHash = "\xa5r\xcc\xd3.g\xd2\xbb\xa9r\x0cT\xa6#\xaac v\xb9\xfeu8\xbc\x0bo+\xa4 \x88J`\xe6"
- In HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
- Sequence = "1"
手順 5
以下のファイルを検索し削除します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{D689F1C1-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{620314D7-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{7FEA5E48-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{8BDD2688-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{6E126D9B-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{C7F7E574-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{79ED6818-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{514668A0-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\psvince.dll
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{B60CE9C4-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{6E126D9D-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{85E291B8-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{AA1A2183-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{714A09BA-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{D0589D4A-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\itdownload.dll
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{67FDA9A7-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{5146689D-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{5146689F-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{BC051D33-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\_isetup\_isdecmp.dll
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{97D25029-B742-11E9-9350-005056BC5B9B}.dat
- %User Temp%\is-IAN4H.tmp\idp.dll
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{9DCCE4F9-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{91D7BB59-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{C1FFB204-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{A3C51869-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{714A09BB-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{B014B654-B742-11E9-9350-005056BC5B9B}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{5C0AE167-B742-11E9-9350-005056BC5B9B}.dat
手順 6
以下のフォルダを検索し削除します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %Application Data%\Microsoft\Windows\IECompatUACache
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %Application Data%\Microsoft\Windows\IECompatCache
- %User Temp%\is-IAN4H.tmp\_isetup
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Microsoft\Windows\PrivacIE
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Adware.Win32.CsdiMonetize.AS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
ご利用はいかがでしたか? アンケートにご協力ください