ADWARE.WIN32.WOWSEARCH.GA
Windows
マルウェアタイプ:
アドウェア
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
詳細
侵入方法
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
アドウェアは、以下のファイルを作成します。
- %User Temp%\nsvED9.tmp
- %User Temp%\nsuF0D.tmp
- %User Temp%\nsuF0D.tmp\UAC.dll
- %User Temp%\nsuF0D.tmp\version.dll
- %Program Files%\wow search\icons\install.ico
- %Program Files%\wow search\icons\wow_ico.ico
- %User Temp%\nsuF0D.tmp\nsProcess.dll
- %User Temp%\nsuF0D.tmp\System.dll
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
アドウェアは、以下のフォルダを作成します。
- %User Temp%\nsuF0D.tmp
- %Program Files%\wow search
- %Program Files%\wow search\icons
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
他のシステム変更
アドウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\wow search
se_guid = {Random Characters}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchScopes\{Random Characters}
DisplayName = "wow search"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchScopes\{Random Characters}
FaviconURL = http://{BLOCKED}s.{BLOCKED}p.it/p/97238/wow_ico.png
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchScopes\{Random Characters}
URL = http://{BLOCKED}w.{BLOCKED}p.it/?q={searchTerms}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchScopes
DefaultScope = {Random Characters}
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
DisplayName = wow search
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
FaviconPath = %Program Files%\wow search\icons\{BLOCKED}w_{BLOCKED}o.ico
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
FaviconURL = http://{BLOCKED}s.{BLOCKED}p.it/p/97238/wow_ico.png
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
URL = http://{BLOCKED}w.{BLOCKED}p.it/?q={searchTerms}
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\SearchScopes
DefaultScope = {Random Characters}
HKEY_USERS\S-1-5-19\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
DisplayName = wow search
HKEY_USERS\S-1-5-19\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
FaviconPath = %Program Files%\wow search\icons\{BLOCKED}w_{BLOCKED}o.ico
HKEY_USERS\S-1-5-19\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
FaviconURL = http://{BLOCKED}s.{BLOCKED}p.it/p/97238/wow_ico.png
HKEY_USERS\S-1-5-19\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
URL = http://{BLOCKED}w.{BLOCKED}p.it/?q={searchTerms}
HKEY_USERS\S-1-5-19\Software\
Microsoft\Internet Explorer\SearchScopes
DefaultScope = {Random Characters}
HKEY_USERS\S-1-5-20\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
DisplayName = wow search
HKEY_USERS\S-1-5-20\Software\
Microsoft\Internet Explorer\SearchScopes\
{Random Characters}
FaviconPath = %Program Files%\wow search\icons\{BLOCKED}w_{BLOCKED}o.ico
HKEY_USERS\S-1-5-20\Software\
Microsoft\Internet Explorer\SearchScopes
DefaultScope = {Random Characters}
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes\{Random Characters}
DisplayName = wow search
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes\{Random Characters}
FaviconPath = %Program Files%\wow search\icons\{BLOCKED}w_{BLOCKED}o.ico
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes\{Random Characters}
FaviconURL = http://{BLOCKED}s.{BLOCKED}p.it/p/97238/wow_ico.png
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes\{Random Characters}
URL = http://{BLOCKED}w.{BLOCKED}p.it/?q={searchTerms}
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes
DefaultScope = {Random Characters}
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Internet Explorer\
SearchScopes\{Random Characters}
DisplayName = wow search
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Internet Explorer\
SearchScopes\{Random Characters}
FaviconPath = %Program Files%\wow search\icons\{BLOCKED}w_{BLOCKED}o.ico
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Internet Explorer\
SearchScopes\{Random Characters}
FaviconURL = http://{BLOCKED}s.{BLOCKED}p.it/p/97238/wow_ico.png
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Internet Explorer\
SearchScopes\{Random Characters}
URL = http://{BLOCKED}w.{BLOCKED}p.it/?q={searchTerms}
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Internet Explorer\
SearchScopes
DefaultScope = {Random Characters}
HKEY_CURRENT_USER\Software\SecurityUpdatesService
search_version = {BLOCKED}.{BLOCKED}.11