SPYW_HIJACK
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
スパイウェアは、ユーザのInternet Explorer(IE)のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}55.vo.msecnd.net/snapdo-website-version/Smartbar.Installer.Mini.exe
- http://{BLOCKED}p.do
インストール
スパイウェアは、以下のフォルダを作成します。
- %User Profile%\Application Data\Mozilla\Firefox\Profiles\4wwmjcqo.default
- %Application Data%\SmartbarBar
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Browser Infrastructure Helper = "%Application Data%\Smartbar\Application\SnapDo.exe startup"
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ApprovedExtensionsMigration
{AE07101B-46D4-4A98-AF68-0333EA26E113} =
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Search
Default_Search_URL = "http://search.snap.do/?q={searchTerms}"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Search
SearchAssistant = "http://search.snap.do/?q={searchTerms}"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes
DefaultScope = "{006ee092-9658-4fd6-bd8e-a21a348e59f5}"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TabbedBrowsing
ShowTabsWelcome = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TabbedBrowsing
UseHomepageForNewTab = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TabbedBrowsing
NewTabPageShow = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Search Bar = "http://search.snap.do/?q={searchTerms}"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "yes"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchUrl
Default = "http://search.snap.do/?q={searchTerms}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchUrl
Default = "http://search.snap.do/?q={searchTerms}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Toolbar
{ae07101b-46d4-4a98-af68-0333ea26e113} = "Smartbar"
スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\IESmartBar.BandObjectAttribute
HKEY_CLASSES_ROOT\IESmartBar.BHO
HKEY_CLASSES_ROOT\IESmartBar.DockingPanel
HKEY_CLASSES_ROOT\IESmartBar.IESmartBar
HKEY_CLASSES_ROOT\IESmartBar.IESmartBarBandObject
HKEY_CLASSES_ROOT\IESmartBar.SmartbarDisplayState
HKEY_CLASSES_ROOT\IESmartBar.SmartbarMenuForm
HKEY_CURRENT_USER\Software\Smartbar
HKEY_CURRENT_USER\Software\SmartbarBackup
HKEY_CURRENT_USER\Software\SmartbarLog
HKEY_CURRENT_USER\Software\Microsoft\
Installer\Features\5A924A563B25F714ABA48100E97D69BE
HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\5A924A563B25F714ABA48100E97D69BE
HKEY_CURRENT_USER\Software\Microsoft\
Installer\UpgradeCodes\5E8031606EB60A64C882918F8FF38DD4
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{31ad400d-1b06-4e33-a59a-90c2c140cba0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
Webブラウザのホームページおよび検索ページの変更
スパイウェアは、ユーザのIEのスタートページを以下のWebサイトに変更します。
- http://search.{BLOCKED}p.do/
その他
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}55.vo.msecnd.net
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
起動中ブラウザのウインドウを全て閉じてください。
手順 3
自身のアンインストールオプションを使用し、「SPYW_HIJACK」を削除します。
手順 4
以下のフォルダを検索し削除します。
%Application Data%\SmartbarBar
手順 5
Internet Explorer(IE)のスタートページおよび検索ページの設定を修正します。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「SPYW_HIJACK」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください