プラットフォーム:

Windows

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    アドウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 616,856 bytes
タイプ EXE
メモリ常駐 なし
発見日 2016年4月2日

侵入方法

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

アドウェアは、以下のフォルダを作成します。

  • %User Temp%\ish74468
  • %User Temp%\ish74468\css
  • %User Temp%\ish74468\css\sdk-ui
  • %User Temp%\ish74468\css\sdk-ui\images
  • %User Temp%\ish74468\images
  • %User Temp%\ish74468\locale
  • %User Temp%\is266766283
  • %User Temp%\IS2667~1
  • %User Temp%\IS2667~1\87449_stp
  • %User Temp%\IS2667~1\87244_stp
  • %User Temp%\IS2667~1\87377_stp
  • %User Temp%\IS2667~1\87211_stp
  • %User Temp%\IS2667~1\87280_stp
  • %User Temp%\YL
  • %User Temp%\BF_YL
  • %User Temp%\WY_YL
  • %User Temp%\IS2667~1\87689_stp

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

作成活動

アドウェアは、以下のファイルを作成します。

  • %User Temp%\000122B5.log
  • %User Temp%\ish74468\css\ie6_main.css
  • %User Temp%\ish74468\css\main.css
  • %User Temp%\ish74468\css\sdk-ui\browse.css
  • %User Temp%\ish74468\css\sdk-ui\button.css
  • %User Temp%\ish74468\css\sdk-ui\checkbox.css
  • %User Temp%\ish74468\css\sdk-ui\images\button-bg.png
  • %User Temp%\ish74468\css\sdk-ui\images\progress-bg-corner.png
  • %User Temp%\ish74468\css\sdk-ui\images\progress-bg.png
  • %User Temp%\ish74468\css\sdk-ui\images\progress-bg2.png
  • %User Temp%\ish74468\css\sdk-ui\progress-bar.css
  • %User Temp%\ish74468\csshover3.htc
  • %User Temp%\ish74468\form.bmp.Mask
  • %User Temp%\ish74468\images\banner_black.png
  • %User Temp%\ish74468\images\bg.png
  • %User Temp%\ish74468\images\close.png
  • %User Temp%\ish74468\images\close_hover.png
  • %User Temp%\ish74468\images\Color_Button.png
  • %User Temp%\ish74468\images\Color_Button_Hover.png
  • %User Temp%\ish74468\images\Grey_Button.png
  • %User Temp%\ish74468\images\Grey_Button_Hover.png
  • %User Temp%\ish74468\images\icon_generic.png
  • %User Temp%\ish74468\images\loader.gif
  • %User Temp%\ish74468\images\Minimize.png
  • %User Temp%\ish74468\images\Pause_Button.png
  • %User Temp%\ish74468\images\progress-bg.png
  • %User Temp%\ish74468\images\Progress.png
  • %User Temp%\ish74468\images\ProgressBar.png
  • %User Temp%\ish74468\images\Quick_Specs.png
  • %User Temp%\ish74468\images\Resume_Button.png
  • %User Temp%\ish74468\locale\EN.locale
  • %User Temp%\ish74468\locale\ES.locale
  • %User Temp%\ish74468\bootstrap_44267.html
  • %User Temp%\00014CF2.log
  • %User Temp%\icreinstall_{malware file name}
  • %Desktop%\Continue Dropbox Installation.lnk
  • %User Temp%\00015399.log
  • %User Temp%\is266766283\87122_stp.EXE
  • %User Temp%\is266766283\87122_stp.EXE.part
  • %User Temp%\00016879.log
  • %User Temp%\000168F6.log
  • %User Temp%\00016905.log
  • %User Temp%\IS2667~1\87211_stp.CIS
  • %User Temp%\000169A2.log
  • %User Temp%\IS2667~1\87244_stp.CIS
  • %User Temp%\00016A3E.log
  • %User Temp%\00016B38.log
  • %User Temp%\IS2667~1\87280_stp.CIS
  • %User Temp%\00016C22.log
  • %User Temp%\00016C51.log
  • %User Temp%\00016CED.log
  • %User Temp%\IS2667~1\87377_stp.CIS
  • %User Temp%\00016E26.log
  • %User Temp%\IS2667~1\87449_stp.CIS
  • %User Temp%\IS2667~1\87449_stp.CIS.part
  • %User Temp%\IS2667~1\87244_stp.CIS.part
  • %User Temp%\IS2667~1\87211_stp.CIS.part
  • %User Temp%\IS2667~1\87377_stp.CIS.part
  • %User Temp%\00017990.log
  • %User Temp%\isf_87505.flat
  • %User Temp%\IS2667~1\87449_stp\yt12.html
  • %User Temp%\00017B84.log
  • %User Temp%\IS2667~1\87449_stp\yt18.html
  • %User Temp%\isf_87514.flat
  • %User Temp%\IS2667~1\87280_stp.CIS.part
  • %User Temp%\00017DD6.log
  • %User Temp%\isf_87562.flat
  • %User Temp%\IS2667~1\87244_stp\BFyt12.html
  • %User Temp%\00017E91.log
  • %User Temp%\IS2667~1\87244_stp\BFyt18.html
  • %User Temp%\00017F1E.log
  • %User Temp%\IS2667~1\87377_stp\WYyt12.html
  • %User Temp%\IS2667~1\87377_stp\WYyt18.html
  • %User Temp%\isf_87634.flat
  • %User Temp%\00017FF8.log
  • %User Temp%\IS2667~1\87211_stp\icut.dat
  • %User Temp%\IS2667~1\87689_stp.CIS
  • %User Temp%\000184EA.log
  • %User Temp%\isf_87726.flat
  • %User Temp%\IS2667~1\87280_stp\asgnd.json
  • %User Temp%\IS2667~1\87689_stp.CIS.part
  • %User Temp%\00018F2B.log
  • %User Temp%\00018F4A.log
  • %User Temp%\00019006.log
  • %User Temp%\0001943C.log
  • %User Temp%\isf_87798.flat
  • %User Temp%\IS2667~1\87689_stp\PFGRP.dll

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)

その他

アドウェアは、以下の不正なWebサイトにアクセスします。

  • http://os.{BLOCKED}wncdn.com
  • http://dw4.{BLOCKED}wn.com/{random path}
  • http://cdneu.{BLOCKED}wncdn.com/ofr/Niniwic/YL/Niniwic_Tefenece_21Jan16.cis
  • http://cdneu.{BLOCKED}wncdn.com/ofr/Solululadul/icut.cis
  • http://cdneu.{BLOCKED}wncdn.com/ofr/Solululadul/asgnd.cis
  • http://cdneu.{BLOCKED}wncdn.com/ofr/Niniwic/YL/Niniwic_yl_21Jan16.cis
  • http://cdneu.{BLOCKED}wncdn.com/ofr/Leyeluyili/Leyeluyili_020915.cis
  • http://cdnus.{BLOCKED}wncdn.com/ofr/Niniwic/YL/Niniwic_Tefenece_21Jan16.cis
  • http://cdnus.{BLOCKED}wncdn.com/ofr/Solululadul/asgnd.cis
  • http://cdnus.{BLOCKED}wncdn.com/ofr/Niniwic/YL/Niniwic_yl_21Jan16.cis
  • http://os.{BLOCKED}wncdn.com/ofr/Solululadul/icut.cis
  • http://os.{BLOCKED}wncdn.com/ofr/Nupenun/Nupenun_290216.cis
  • http://cdnus.{BLOCKED}wncdn.com/ofr/Nupenun/Nupenun_290216.cis
  • {BLOCKED}0.1
  • {BLOCKED}136.232
  • {BLOCKED}.105.132
  • {BLOCKED}.216.70
  • {BLOCKED}.86.56
  • {BLOCKED}.87.151
  • {BLOCKED}5.27.45
  • {BLOCKED}.87.155

このウイルス情報は、自動解析システムにより作成されました。

  対応方法

対応検索エンジン: 9.8

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\000122B5.log
  • %User Temp%\ish74468\css\ie6_main.css
  • %User Temp%\ish74468\css\main.css
  • %User Temp%\ish74468\css\sdk-ui\browse.css
  • %User Temp%\ish74468\css\sdk-ui\button.css
  • %User Temp%\ish74468\css\sdk-ui\checkbox.css
  • %User Temp%\ish74468\css\sdk-ui\images\button-bg.png
  • %User Temp%\ish74468\css\sdk-ui\images\progress-bg-corner.png
  • %User Temp%\ish74468\css\sdk-ui\images\progress-bg.png
  • %User Temp%\ish74468\css\sdk-ui\images\progress-bg2.png
  • %User Temp%\ish74468\css\sdk-ui\progress-bar.css
  • %User Temp%\ish74468\csshover3.htc
  • %User Temp%\ish74468\form.bmp.Mask
  • %User Temp%\ish74468\images\banner_black.png
  • %User Temp%\ish74468\images\bg.png
  • %User Temp%\ish74468\images\close.png
  • %User Temp%\ish74468\images\close_hover.png
  • %User Temp%\ish74468\images\Color_Button.png
  • %User Temp%\ish74468\images\Color_Button_Hover.png
  • %User Temp%\ish74468\images\Grey_Button.png
  • %User Temp%\ish74468\images\Grey_Button_Hover.png
  • %User Temp%\ish74468\images\icon_generic.png
  • %User Temp%\ish74468\images\loader.gif
  • %User Temp%\ish74468\images\Minimize.png
  • %User Temp%\ish74468\images\Pause_Button.png
  • %User Temp%\ish74468\images\progress-bg.png
  • %User Temp%\ish74468\images\Progress.png
  • %User Temp%\ish74468\images\ProgressBar.png
  • %User Temp%\ish74468\images\Quick_Specs.png
  • %User Temp%\ish74468\images\Resume_Button.png
  • %User Temp%\ish74468\locale\EN.locale
  • %User Temp%\ish74468\locale\ES.locale
  • %User Temp%\ish74468\bootstrap_44267.html
  • %User Temp%\00014CF2.log
  • %User Temp%\icreinstall_{malware file name}
  • %Desktop%\Continue Dropbox Installation.lnk
  • %User Temp%\00015399.log
  • %User Temp%\is266766283\87122_stp.EXE
  • %User Temp%\is266766283\87122_stp.EXE.part
  • %User Temp%\00016879.log
  • %User Temp%\000168F6.log
  • %User Temp%\00016905.log
  • %User Temp%\IS2667~1\87211_stp.CIS
  • %User Temp%\000169A2.log
  • %User Temp%\IS2667~1\87244_stp.CIS
  • %User Temp%\00016A3E.log
  • %User Temp%\00016B38.log
  • %User Temp%\IS2667~1\87280_stp.CIS
  • %User Temp%\00016C22.log
  • %User Temp%\00016C51.log
  • %User Temp%\00016CED.log
  • %User Temp%\IS2667~1\87377_stp.CIS
  • %User Temp%\00016E26.log
  • %User Temp%\IS2667~1\87449_stp.CIS
  • %User Temp%\IS2667~1\87449_stp.CIS.part
  • %User Temp%\IS2667~1\87244_stp.CIS.part
  • %User Temp%\IS2667~1\87211_stp.CIS.part
  • %User Temp%\IS2667~1\87377_stp.CIS.part
  • %User Temp%\00017990.log
  • %User Temp%\isf_87505.flat
  • %User Temp%\IS2667~1\87449_stp\yt12.html
  • %User Temp%\00017B84.log
  • %User Temp%\IS2667~1\87449_stp\yt18.html
  • %User Temp%\isf_87514.flat
  • %User Temp%\IS2667~1\87280_stp.CIS.part
  • %User Temp%\00017DD6.log
  • %User Temp%\isf_87562.flat
  • %User Temp%\IS2667~1\87244_stp\BFyt12.html
  • %User Temp%\00017E91.log
  • %User Temp%\IS2667~1\87244_stp\BFyt18.html
  • %User Temp%\00017F1E.log
  • %User Temp%\IS2667~1\87377_stp\WYyt12.html
  • %User Temp%\IS2667~1\87377_stp\WYyt18.html
  • %User Temp%\isf_87634.flat
  • %User Temp%\00017FF8.log
  • %User Temp%\IS2667~1\87211_stp\icut.dat
  • %User Temp%\IS2667~1\87689_stp.CIS
  • %User Temp%\000184EA.log
  • %User Temp%\isf_87726.flat
  • %User Temp%\IS2667~1\87280_stp\asgnd.json
  • %User Temp%\IS2667~1\87689_stp.CIS.part
  • %User Temp%\00018F2B.log
  • %User Temp%\00018F4A.log
  • %User Temp%\00019006.log
  • %User Temp%\0001943C.log
  • %User Temp%\isf_87798.flat
  • %User Temp%\IS2667~1\87689_stp\PFGRP.dll

手順 3

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\ish74468
  • %User Temp%\ish74468\css
  • %User Temp%\ish74468\css\sdk-ui
  • %User Temp%\ish74468\css\sdk-ui\images
  • %User Temp%\ish74468\images
  • %User Temp%\ish74468\locale
  • %User Temp%\is266766283
  • %User Temp%\IS2667~1
  • %User Temp%\IS2667~1\87449_stp
  • %User Temp%\IS2667~1\87244_stp
  • %User Temp%\IS2667~1\87377_stp
  • %User Temp%\IS2667~1\87211_stp
  • %User Temp%\IS2667~1\87280_stp
  • %User Temp%\YL
  • %User Temp%\BF_YL
  • %User Temp%\WY_YL
  • %User Temp%\IS2667~1\87689_stp

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_INSTALLCORE.GD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください