ADW_MULTIPLUG

アドウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

アドウェアは、Browser Helper Object（BHO）として登録し、ユーザのインターネットの閲覧状況を監視します。

アドウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのアドウェアが削除されるのを避けます。 アドウェアは、特定のWebサイトにアクセスし、情報を送受信します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

アドウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

アドウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Program Files%\SegmentAugmenter\SegmentAugmenter.dll

(註：%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

アドウェアは、以下のフォルダを作成します。

• %Program Files%\SegmentAugmenter

(註：%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

自動実行方法

アドウェアは、BHOとして登録し、ユーザのインターネットの閲覧状況を監視します。

アドウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\3f412c52
"%System32%\rundll32.exe" = "%Program Files%\SegmentAugmenter\SegmentAugmenter.dll",serv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\3f412c52
DisplayName = "SegmentAugmenter"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\3f412c52
ObjectName = "LocalSystem"

他のシステム変更

アドウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
{12DA0E6F-5543-440C-BAA2-28BF01070AFA}

HKEY_LOCAL_MACHINE\SOFTWARE\63909fcf-137a-c2ce-ad6f-1f5845710580

HKEY_LOCAL_MACHINE\SOFTWARE\{12A61307-94CD-4F8E-94BC-918E511FAA81}
3f412c52 = "%Program Files%\SegmentAugmenter\SegmentAugmenter.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}

HKEY_LOCAL_MACHINE\SOFTWARE\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}\
_3f412c52
dlpath = "%Program Files%\segmen~1\segmen~1.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}\
_3f412c52
svpath = "%Program Files%\SegmentAugmenter\SegmentAugmenter.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}\
_3f412c52
Install_Dir = "%Program Files%\SegmentAugmenter"

HKEY_LOCAL_MACHINE\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}

アドウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs = "1"

(註：変更前の上記レジストリ値は、「" "」となります。)

情報漏えい

アドウェアは、Webブラウザに自身を組み込み、ユーザが以下の検索エンジンで行う検索を監視します。

• iexplore.exe
• chrome.exe
• firefox.exe
• dragon.exe
• torch.exe
• new_chrome.exe

その他

アドウェアは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{3f412c52}
UninstallString = ""%SYSTEM32%\RUNDLL32.EXE" "%Program Files%\SEGMEN~1\SEGMEN~1.DLL",_uninstall /un"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{3f412c52}
QuietUninstallString = ""%SYSTEM32%\RUNDLL32.EXE" "%Program Files%\SEGMEN~1\SEGMEN~1.DLL",_uninstall /un /uq"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{3f412c52}
DisplayName = "SegmentAugmenter"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{3f412c52}
Publisher = "Software Publisher"

アドウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}ran.org/uninstall/
• http://{BLOCKED}e.org/uninstall/
• http://{BLOCKED}ee.org/uninstall/
• http://{BLOCKED}rysafe.org/uninstall/
• http://{BLOCKED}rygood.com/uninstall/
• http://{BLOCKED}rygood.org/uninstall/
• http://{BLOCKED}mithsky.com/uninstall/
• http://{BLOCKED}mithsky.org/uninstall/
• http://{BLOCKED}usuksky.com/uninstall/
• http://{BLOCKED}umall.net/uninstall/
• http://{BLOCKED}s.org/get/
• http://{BLOCKED}ne.info/get/
• http://{BLOCKED}rygood.net
• {BLOCKED}ingbox.info
• {BLOCKED}rysafe.net
• {BLOCKED}usuksky.net
• {BLOCKED}otoptic.com
• {BLOCKED}i.net
• {BLOCKED}ero.net
• {BLOCKED}led.net
• {BLOCKED}be.net
• {BLOCKED}uar.com
• {BLOCKED}ery.net
• {BLOCKED}ta.net
• {BLOCKED}est.org

ただし、情報公開日現在、このWebサイトにはアクセスできません。

アドウェアは、以下の検索エンジンから生成される検索結果を監視します。

• adoresearch.com
• anchorfree.net
• ask.com
• avg.name
• babylon.com
• basicscan.com
• bearshare.net
• beesq.net
• blekko.com
• certified-toolbar.com
• chatvibes.com
• communitytoolbars.com
• conduit.com
• ddlstart.com
• delta-search.com
• facemoods.com
• forumtoolbar.com
• funmoods.com
• greattoolbars.com
• helperbar.com
• icq.com
• ilivid.com
• imesh.com
• imesh.net
• iminent.com
• inbox.com
• incredibar.com
• incredimail.com
• installgenius.com
• linkury.com
• loyaltytoolbar.com
• mail.ru
• media-toolbar.com
• metacrawler.com
• myblogtoolbar.com
• mybrowserbar.com
• mycitytoolbar.com
• mycollegetoolbar.com
• myfamilytoolbar.com
• myforumtoolbar.com
• mylibrarytoolbar.com
• myradiotoolbar.com
• mysearch.com
• mysearchresults.com
• mystoretoolbar.com
• myteamtoolbar.com
• mytowntoolbar.com
• myuniversitytoolbar.com
• mywebsearch.com
• myxangatoolbar.com
• onewebsearch.com
• openmediasoft.com
• ourbusinesstoolbar.com
• ourchurchtoolbar.com
• ourorganizationtoolbar.com
• ourtoolbar.com
• plusnetwork.com
• seacrhab.com
• search-results.com
• searchamong.com
• searchcore.net
• searchfunmoods.com
• searchnu.com
• searchonme.com
• searchplusnetwork.com
• searchqu.com
• searchsafer.com
• searchya.com
• shareazaweb.net
• shark-search.com
• snap.do
• softonic.com
• starburnsoftware.com
• startnow.com
• startpins.com
• startsearcher.com
• sweetim.com
• toolbar.fm
• v9.com
• whitesmoke.com
• yourbestsearch.net