ADW_CYDOOR.GA
Adware.Cydoor-6 (ClamAV); Adware/CyDoor (Fortinet); Adware-CyDoor (McAfee); Cydoor (PUA) (Sophos); Adware.Win32.Cydoor.aa (Baidu-International)
Windows
マルウェアタイプ:
アドウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
アドウェアは、ワーム活動の機能を備えていません。
アドウェアは、バックドア活動の機能を備えていません。
詳細
侵入方法
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
アドウェアは、以下のファイルを作成します。
- %System%\cd_clint.dll - detected as ADWARE_CYDOOR
- %System%\cd_htm.dll - detected as ADWARE_CYDOOR
- %System%\CD_Load.exe - detected as Adware_Cydoor
- %System%\AdCache\b_149300.GIF
- %System%\AdCache\b_149301.GIF
- %System%\AdCache\b_151700.GIF
- %System%\AdCache\b_151701.GIF
- %User Temp%\_ad149.dll - detected as ADWARE_CYDOOR
- %User Temp%\{random folder name}\CD_Load.exe - detected as Adware_Cydoor
- %User Temp%\{random folder name}\cd_clint.dll - detected as ADWARE_CYDOOR
- %User Temp%\{random folder name}\cd_htm.dll - detected as ADWARE_CYDOOR
- %User Temp%\{random folder name}\ftetris.exe
- %User Temp%\{random folder name}\RUNDLL32.EXE
- %User Temp%\{random folder name}\Start.cdi
- %User Temp%\{random folder name}\_ad149.rtp
- %User Temp%\{random folder name}\_ad149.adx
- %User Temp%\{random folder name}\Privacy.gif
- %User Temp%\{random folder name}\B_149300.gif
- %User Temp%\{random folder name}\B_149301.gif
- %User Temp%\{random folder name}\adverck\B_149300.gif
- %User Temp%\{random folder name}\adverck\B_149301.gif
- %User Temp%\{random folder name}\adverck\cd_clint.dll - detected as ADWARE_CYDOOR
- %User Temp%\{random folder name}\adverck\cd_htm.dll - detected as ADWARE_CYDOOR
- %User Temp%\{random folder name}\adverck\CD_Load.exe - detected as Adware_Cydoor
- %User Temp%\{random folder name}\adverck\ftetris.exe
- %User Temp%\{random folder name}\adverck\Privacy.gif
- %User Temp%\{random folder name}\adverck\Start.cdi
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
アドウェアは、以下のフォルダを作成します。
- %System%\AdCache
- %User Temp%\{random folder name}
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
他のシステム変更
アドウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Cydoor
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
HKEY_CURRENT_USER\Software\Cydoor Services
HKEY_CURRENT_USER\Software\Cydoor Services\
Status
HKEY_CURRENT_USER\Software\Cydoor Services\
Queue
HKEY_LOCAL_MACHINE\SOFTWARE\Cydoor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
AdSupport_{numbers}
アドウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Cydoor
HIS_1 = ""
HKEY_CURRENT_USER\Software\Cydoor
RHIS_1 = ""
HKEY_CURRENT_USER\Software\Cydoor
DHIS_1 = ""
HKEY_CURRENT_USER\Software\Cydoor
Vers = "{value}"
HKEY_CURRENT_USER\Software\Cydoor
Desc2 = "{data}"
HKEY_CURRENT_USER\Software\Cydoor
UserCode = "0"
HKEY_CURRENT_USER\Software\Cydoor
ShowChange = "1"
HKEY_CURRENT_USER\Software\Cydoor
Errors = "{value}"
HKEY_CURRENT_USER\Software\Cydoor
PrxyEnable = "{value}"
HKEY_CURRENT_USER\Software\Cydoor
PrxyUrl = "{value}"
HKEY_CURRENT_USER\Software\Cydoor
ConnType = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Cydoor
AdwrCnt = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Cydoor
%Program Files%\2VG\FTetris\tetris.exe = "{numbers}"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}
ExistFile = "%PROGRAMFILES%\2VG\FTetris\tetris.exe"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}
LoctNum = "1"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}
DistCode = "0"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}
ShowChange = "1"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}
Uninstall = ""
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}
SeqnList = "{hex values}"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}
SeqnNum = "2"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}
MinCycle = "0"
HKEY_CURRENT_USER\Software\Cydoor Services\
Status
IdleState = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
AdSupport_{numbers}
UninstallString = "RunDll32 %SystemRoot%\system32\cd_clint.dll,ServiceRunDll u_{numbers}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FreeTetris_is1
Cydoor = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
FreeTetris_is1
UninstallString = ="RunDll32 %SystemRoot%\system32\cd_clint.dll,ServiceRunDll u_{numbers} "FreeTetris_is1""
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
ShowBann = "1"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
PrCode = "{value}"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
ExpsNum = "1"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
ExpsCnt = "0"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
ExpsLast = "0"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
BannNum = "2"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
BannCnt = "0"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
FileTerm = "GIF"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
Url = "http://www.cydoor.com/Games"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
Url = "http://www.cydoor.com/music"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
ConfStr = "{data}"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
Type = "1"
HKEY_CURRENT_USER\Software\Cydoor\
Adwr_{numbers}\Loct_{number}\Level_{number}\
Seqn_{numbers}
CycleInter = "2"
感染活動
アドウェアは、ワーム活動の機能を備えていません。
バックドア活動
アドウェアは、バックドア活動の機能を備えていません。
アドウェアが作成する以下のファイルは、「ADWARE_CYDOOR」として検出されます。
- %System%\cd_clint.dll
- %System%\cd_htm.dll
- %System%\CD_Load.exe
- %User Temp%\_ad149.dll
- %User Temp%\{random folder name}\CD_Load.exe
- %User Temp%\{random folder name}\cd_clint.dll
- %User Temp%\{random folder name}\cd_htm.dl
- %User Temp%\{random folder name}\adverck\cd_clint.dll
- %User Temp%\{random folder name}\adverck\cd_htm.dl
- %User Temp%\{random folder name}\adverck\CD_Load.exe
アドウェアは以下のWebサイトに接続してポップアップ広告を表示します。
- http://ww15.{BLOCKED}or.com/Games
- http://www.c{BLOCKED}or.com/Games
- http://www.c{BLOCKED}or.com/music
- http://{BLOCKED}d.ok{BLOCKED}65.com/?dm=cydoor.com&acc={value}&ref=http://ww15.cydoor.com/Games
- http://www.b{BLOCKED}s2.net/{path 1}/{path 2}?{data}
- http://www.b{BLOCKED}s1.net/{path 1}/{path 2}?{data}
- http://www.r{BLOCKED}s2.net/{path 1}/{path 2}?{data}
- http://www.r{BLOCKED}s1.net/{path 1}/{path 2}?{data}
- http://www.c{BLOCKED}s2.net/{path 1}/{path 2}?{data}
- http://www.c{BLOCKED}s1.net/{path 1}/{path 2}?{data}
"{path 1}"には以下のいずれかが当てはまります。
- scripts/brs/
- scripts/rgs/
- scripts/cms/
"{path 2}"には以下のいずれかが当てはまります。
- Cms{number}.ASP
- Rgs{number}.ASP
- RgsInit.ASP
- CmsInit.ASP
- RgsInit{number}.ASP
- CmsInit{number}.ASP
アドウェアは、以下の活動を実行します。
- 自身をインストールしたプログラムに自身を起動させる
- ポップアップ広告の表示
- メッセージボックスの作成
- プロキシの使用を有効または無効にする
- インターネット接続の確認
- スリープ
アドウェアは、ルートキット機能を備えていません。
アドウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software
- Cydoor
- Cydoor
- In HKEY_CURRENT_USER\Software
- Cydoor Services
- Cydoor Services
- In HKEY_LOCAL_MACHINE\SOFTWARE
- Cydoor
- Cydoor
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- AdSupport_{numbers}
- AdSupport_{numbers}
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FreeTetris_is1
- Cydoor = "1"
- Cydoor = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FreeTetris_is1
- UninstallString = ="RunDll32 %SystemRoot%\system32\cd_clint.dll,ServiceRunDll u_{numbers} "FreeTetris_is1""
- UninstallString = ="RunDll32 %SystemRoot%\system32\cd_clint.dll,ServiceRunDll u_{numbers} "FreeTetris_is1""
手順 6
以下のファイルを検索し削除します。
- %System%\cd_clint.dll
- %System%\cd_htm.dll
- %System%\CD_Load.exe
- %User Temp%\_ad149.dll
手順 7
以下のフォルダを検索し削除します。
- %System%\AdCache
- %User Temp%\{random folder name}
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「ADW_CYDOOR.GA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 9
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_CYDOOR.GA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください