ADW_STARWARE
Adware.Starware (Symantec); Program:Win32/Starware (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
アドウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
アドウェアは、他の不正プログラムにより作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
アドウェアは、自身のコピーがWindows起動時に自動実行されるようレジストリ値を追加します。
アドウェアは、レジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。
詳細
侵入方法
アドウェアは、他の不正プログラムにより作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
アドウェアは、以下のファイルを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\blocker.cur
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\FindIt.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\FindItHot.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\findithotxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\finditxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\Highlight.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\HighlightHot.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\highlighthotxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\highlightxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\logo.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\logoxp.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\PopupBlocker.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\PopupBlockerHot.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\popupblockerhotxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\popupblockerxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\Reference.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\ReferenceHot.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\referencehotxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\referencexp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\screensaver.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\Weather.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\weatherhotxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\buttons\weatherxp.png
- %System Root%\Documents and Settings\All Users\Application Data\Starware\contexts\error.xml
- %System Root%\Documents and Settings\All Users\Application Data\Starware\contexts\related.xml
- %System Root%\Documents and Settings\All Users\Application Data\Starware\contexts\travel.xml
- %System Root%\Documents and Settings\All Users\Application Data\Starware\images\walertXP.bmp
- %System Root%\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\ProductMessagingConfig.xml
- %System Root%\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\ProductMessagingConfig.xml.backup
- %System Root%\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\SimpleUpdateConfig.xml
- %System Root%\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\SimpleUpdateConfig.xml.backup
- %System Root%\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\TimerManagerConfig.xml
- %System Root%\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\TimerManagerConfig.xml.backup
- %User Profile%\Application Data\Starware\BrowserSearch\BrowserSearch.xml
- %User Profile%\Application Data\Starware\BrowserSearch\BrowserSearch.xml.backup
- %User Profile%\Application Data\Starware\ErrorSearch\ErrorSearchOptions.xml
- %User Profile%\Application Data\Starware\ErrorSearch\ErrorSearchOptions.xml.backup
- %User Profile%\Application Data\Starware\Layouts\PreferencesLayout.xml
- %User Profile%\Application Data\Starware\Layouts\PreferencesLayout.xml.backup
- %User Profile%\Application Data\Starware\Layouts\ToolbarLayout.xml
- %User Profile%\Application Data\Starware\Layouts\ToolbarLayout.xml.backup
- %User Profile%\Application Data\Starware\Manager\ManagerOptions.xml
- %User Profile%\Application Data\Starware\Manager\ManagerOptions.xml.backup
- %User Profile%\Application Data\Starware\PopupBlocker\PopupBlockerOptions.xml
- %User Profile%\Application Data\Starware\PopupBlocker\PopupBlockerOptions.xml.backup
- %User Profile%\Application Data\Starware\Reference\ReferenceOptions.xml
- %User Profile%\Application Data\Starware\Reference\ReferenceOptions.xml.backup
- %User Profile%\Application Data\Starware\RelatedSearch\RelatedSearchOptions.xml
- %User Profile%\Application Data\Starware\RelatedSearch\RelatedSearchOptions.xml.backup
- %User Profile%\Application Data\Starware\Screensavers\ScreensaversOptions.xml
- %User Profile%\Application Data\Starware\Screensavers\ScreensaversOptions.xml.backup
- %User Profile%\Application Data\Starware\SearchMatch\SearchMatchOptions.xml
- %User Profile%\Application Data\Starware\SearchMatch\SearchMatchOptions.xml.backup
- %User Profile%\Application Data\Starware\Toolbar\TBProductsOptions.xml
- %User Profile%\Application Data\Starware\Toolbar\TBProductsOptions.xml.backup
- %User Profile%\Application Data\Starware\ToolbarLogo\ToolbarLogoOptions.xml
- %User Profile%\Application Data\Starware\ToolbarLogo\ToolbarLogoOptions.xml.backup
- %User Profile%\Application Data\Starware\ToolbarSearch\ToolbarSearchOptions.xml
- %User Profile%\Application Data\Starware\ToolbarSearch\ToolbarSearchOptions.xml.backup
- %User Profile%\Application Data\Starware\TravelSearch\TravelSearchOptions.xml
- %User Profile%\Application Data\Starware\TravelSearch\TravelSearchOptions.xml.backup
- %User Profile%\Application Data\Starware\Weather\AlertArchive.xml
- %User Profile%\Application Data\Starware\Weather\WeatherOptions.xml
- %User Profile%\Application Data\Starware\Weather\WeatherOptions.xml.backup
- %Program Files%\Starware\bin\Starware.dll
- %Program Files%\Starware\brand.bmp
- %Program Files%\Starware\icons\star_16.ico
- %Program Files%\Starware\StarwareConfig.xml
- %Program Files%\Starware\StarwareUninstall.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
アドウェアは、以下のフォルダを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\Starware
- %User Profile%\Application Data\Starware
- %Program Files%\Starware
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
自動実行方法
アドウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\CLSID\{2D51D869-C36B-42bd-AE68-0A81BC771FA5}\
InprocServer32
(default) = "%Program Files%\Starware\bin\Starware.dll"
HKEY_CLASSES_ROOT\CLSID\{7BED0340-176B-44bc-915E-C21C1DD6F617}\
InprocServer32
(default) = "%Program Files%\Starware\bin\Starware.dll"
HKEY_CLASSES_ROOT\CLSID\{CA356D79-679B-4b4c-8E49-5AF97014F4C1}\
InprocServer32
(default) = "%Program Files%\Starware\bin\Starware.dll"
HKEY_CLASSES_ROOT\CLSID\{D49E9D35-254C-4c6a-9D17-95018D228FF5}\
InprocServer32
(default) = "%Program Files%\Starware\bin\Starware.dll"
アドウェアは、以下のレジストリキーを追加し、自身をBrowser Helper Object(BHO)として登録します。これにより、Internet Explorer(IE)が起動するとアドウェアが自動実行されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CA356D79-679B-4b4c-8E49-5AF97014F4C1}
他のシステム変更
アドウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "no"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use Custom Search URL = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\WebBrowser
{D49E9D35-254C-4C6A-9D17-95018D228FF5} = "{hex value}"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\URLSearchHooks
(default) = "{blank}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Toolbar
{D49E9D35-254C-4c6a-9D17-95018D228FF5} = "Starware"
アドウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\CLSID\{2D51D869-C36B-42bd-AE68-0A81BC771FA5}
HKEY_CLASSES_ROOT\CLSID\{7BED0340-176B-44bc-915E-C21C1DD6F617}
HKEY_CLASSES_ROOT\CLSID\{CA356D79-679B-4b4c-8E49-5AF97014F4C1}
HKEY_CLASSES_ROOT\CLSID\{D49E9D35-254C-4c6a-9D17-95018D228FF5}
HKEY_CURRENT_USER\Software\Starware
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Starware
アドウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Search
SearchAssistant = "http://{BLOCKED}s.{BLOCKED}re.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcDFaDWeHPPJB4okC7ss5iHXMDHEeuW2bzJjyWbkvVHUlG/K96l3rCdrg1e6DkEHyzWFf4zQgxGDYrbrCuI8YOVRqEtXB4vlq1W2+C4gDPjQl8IKpI8xA7RYnyMee3Wmosp7Q9NmXmmKfYAR0qLFE/jGWCTvmTqkfSJVPVKmlsu2nBlsDYmJNPWP5aZI8USOmEKaRoY5nsFP/Ux5wnYTwpFbqfI3qMotEGDIqu3xiWK8+M="
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
アドウェアは、以下のレジストリ値を削除します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\URLSearchHooks
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} = "{blank}"