ADW_BROWADS
Win32/UnlimitedDownloads.A (ESET)
Windows
- マルウェアタイプ: アドウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
アドウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。 アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
アドウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。
アドウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのアドウェアが削除されるのを避けます。 アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。
詳細
侵入方法
アドウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。
アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
アドウェアは、以下のファイルを作成します。
- %User Temp%\_{11 random alphanumeric numbers 1}.bat
- %User Temp%\_{11 random alphanumeric numbers 2}.bat
- %User Temp%\_{11 random alphanumeric numbers 3}.bat
- %User Temp%\_{11 random alphanumeric numbers 4}.bat
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
アドウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。
アドウェアは、以下のフォルダを作成します。
- %Program Files%\Common Files\DealAlly
- %Program Files%\Common Files\Diagnostics
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
自動実行方法
アドウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Type = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\diagnostics.js""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
DisplayName = "Diagnostics"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Description = "Diagnostics service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Type = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\proxy_master.js""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
DisplayName = "Proxy"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Description = "Proxy service"
アドウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
他のシステム変更
アドウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyServer = "127.0.0.1:5050"
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyEnable = "1"
アドウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
その他
アドウェアは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayName = "DealAlly"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
UninstallString = "%Program Files%\Common Files\DealAlly\uninst.exe"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayVersion = "1"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
Publisher = "Jet Applications"
アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。