ADW_INSTALCOR.GA

2014年8月27日

解析者: Jaime Benigno Reyes

別名:

AdWare.Win32.InstallCore.f (Kaspersky)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
アドウェア
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい

概要

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

アドウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのアドウェアが削除されるのを避けます。

詳細

ファイルサイズ 802,096 bytes

タイプ EXE

メモリ常駐なし

発見日 2014年8月26日

侵入方法

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

アドウェアは、以下のファイルを作成します。

%Program Files%\Tweaks\FileOpener\7z.dll
%Program Files%\Tweaks\FileOpener\fileopener.exe
%Program Files%\Tweaks\FileOpener\uninstall.exe
%User Temp%\is{10-digit number}\{7-digit number}_stp.EXE
%User Temp%\is{10-digit number}\{7-digit number}_stp.EXE.part
%All Users Profile%\Microsoft\Windows\Start Menu\Programs\FileOpener (Windows Vista and higher versions)
%All Users Profile%\Microsoft\Windows\Start Menu\Programs\FileOpener\FileOpener.lnk (Windows Vista and higher versions)
%All Users Profile%\Microsoft\Windows\Start Menu\Programs\FileOpener\uninstall.lnk (Windows Vista and higher versions)
%System Root%\Users\Public\Desktop\FileOpener.lnk (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\1DAF2884EC4DFA96BA4A58D4DBC9C406 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\223DE96EE265046957A660ED7C9DD9E7_EFF9B9BA98DEAA773F261FA85A0B1771 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\4309200C3DBAD0F6F0DFACE9165FD092 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\49514950C94E8026A2B06312597DFF49_569BD946168DB279A65378F7D088CFD0 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\4997483CBD49861D6724DB29797AB22C_458D4C6BAE4D25B811086B585FFD701D (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\8059E9A0D314877E40FE93D8CCFB3C69_DDFBEA63B17F0C1BF12B1E83E3936D7B (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\AC9005F5466BD463DF06D711B370595F (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\Content\EB2C4AB8B68FFA4B7733A9139239A396_D76DB901EE986B889F30D8CC06229E2D (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\1DAF2884EC4DFA96BA4A58D4DBC9C406 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\223DE96EE265046957A660ED7C9DD9E7_EFF9B9BA98DEAA773F261FA85A0B1771 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\4309200C3DBAD0F6F0DFACE9165FD092 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\49514950C94E8026A2B06312597DFF49_569BD946168DB279A65378F7D088CFD0 (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\4997483CBD49861D6724DB29797AB22C_458D4C6BAE4D25B811086B585FFD701D (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\8059E9A0D314877E40FE93D8CCFB3C69_DDFBEA63B17F0C1BF12B1E83E3936D7B (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\AC9005F5466BD463DF06D711B370595F (Windows Vista and higher versions)
%AppDataLocalLow%\Microsoft\CryptnetUrlCache\MetaData\EB2C4AB8B68FFA4B7733A9139239A396_D76DB901EE986B889F30D8CC06229E2D (Windows Vista and higher versions)
%All Users Profile%\Desktop\FileOpener.lnk (Versions lower than Windows Vista)
%All Users Profile%\Start Menu\Programs\FileOpener (Versions lower than Windows Vista)
%All Users Profile%\Start Menu\Programs\FileOpener\FileOpener.lnk (Versions lower than Windows Vista)
%All Users Profile%\Start Menu\Programs\FileOpener\uninstall.lnk (Versions lower than Windows Vista)
%Application Data%\Microsoft\CryptnetUrlCache\Content\2BF68F4714092295550497DD56F57004 (Versions lower than Windows Vista)
%Application Data%\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015 (Versions lower than Windows Vista)
%Application Data%\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004 (Versions lower than Windows Vista)
%Application Data%\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015 (Versions lower than Windows Vista)

(註：%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %AppDataLocalLow%フォルダは、Windows Vista および 7 の場合、通常、"C:\Users\＜ユーザ名＞\AppData\LocalLow" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

アドウェアは、以下のフォルダを作成します。

%Program Files%\Tweaks
%Program Files%\Tweaks\FileOpener
%User Temp%\is{10-digit number}

他のシステム変更

アドウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
2796BAE63F1801E277261BA0D77770028F20EEE4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
91C6D6EE3E8AC86384E548C299295C756C817B81 (Windows Vista and higher versions)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
D4DE20D05E66FC53FE1A50882C78DB2852CAE474 (Windows Vista and higher versions)

アドウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
2796BAE63F1801E277261BA0D77770028F20EEE4
Blob = "{hex value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
91C6D6EE3E8AC86384E548C299295C756C817B81
Blob = "{hex value}" (Windows Vista and higher versions)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
D4DE20D05E66FC53FE1A50882C78DB2852CAE474
Blob = "{hex value}" (Windows Vista and higher versions)

その他

アドウェアは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
DisplayName = "FileOpener"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
UninstallString = ""%Program Files%\Tweaks\FileOpener\uninstall.exe""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
QuietUninstallString = ""%Program Files%\Tweaks\FileOpener\uninstall.exe" /S"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
InstallLocation = ""%Program Files%\Tweaks\FileOpener""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
DisplayIcon = ""%Program Files%\Tweaks\FileOpener\fileopener.exe""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
Publisher = "Tweaks"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
HelpLink = "http://{BLOCKED}le-opener.com/uninstall.html"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
URLUpdateInfo = "http://{BLOCKED}ile-opener"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
URLInfoAbout = "http://{BLOCKED}ile-opener"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
DisplayVersion = "1.1.1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
AlsoInstalled = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
VersionMajor = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
VersionMinor = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
NoModify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
NoRepair = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Tweaks FileOpener
EstimatedSize = "16233"

アドウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}76.74.176.175
http://{BLOCKED}ds.adsrvmedia.net
http://{BLOCKED}dsrvmedia.adk2.co
http://{BLOCKED}fs.googleusercontent.com
http://{BLOCKED}jax.googleapis.com
http://{BLOCKED}jax.googleapis.com:443
http://{BLOCKED}dn.adapd.com
http://{BLOCKED}dn.adk2.co:443
http://{BLOCKED}dn.adsrvmedia.com
http://{BLOCKED}dn.adsrvmedia.net
http://{BLOCKED}dn.delivery49.com
http://{BLOCKED}dp1.public-trust.com
http://{BLOCKED}lients1.google.com
http://{BLOCKED}ounter.d.adapd.com
http://{BLOCKED}ounter.d.delivery49.com
http://{BLOCKED}rl.geotrust.com
http://{BLOCKED}rl.microsoft.com
http://{BLOCKED}.adapd.com
http://{BLOCKED}.delivery49.com
http://{BLOCKED}p.g.doubleclick.net
http://{BLOCKED}oogleads.g.doubleclick.net
http://{BLOCKED}tglobal-ocsp.geotrust.com
http://{BLOCKED}mg.coolvideoconverter.com
http://{BLOCKED}scrl.microsoft.com
http://{BLOCKED}csp.godaddy.com
http://{BLOCKED}s.fileopenerapp.com
http://{BLOCKED}s2.fileopenerapp.com
http://{BLOCKED}eturn.uk.domainnamesales.com
http://{BLOCKED}p.fileopenerapp.com
http://{BLOCKED}3.amazonaws.com
http://{BLOCKED}tatic.thefileopenerapp.com
http://www.{BLOCKED}srvmedia.com
http://www.{BLOCKED}wnload.windowsupdate.com
http://www.{BLOCKED}ogle.com
http://www.{BLOCKED}ogleadservices.com
http://www.{BLOCKED}tatic.com
http://www.{BLOCKED}efileopenerapp.com

ADW_INSTALCOR.GA

概要

詳細

リソース

サポート

会社概要

東京本社

ADW_INSTALCOR.GA

概要

詳細

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa