ADW_DEALPLY.GB
Win32/InstallCore.CY application (ESET)
Windows
- マルウェアタイプ: アドウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
アドウェアは、以下のファイルを作成します。
- %Desktop%\Continue Codec Pack Installation.lnk
- %User Temp%\is{random number}\{random number}_stp.CIS
- %User Temp%\is{random number}\{random number}_stp.CIS.part
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\デスクトップ" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
アドウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp%\ICReinstall_ICReinstall_UltimateCodec.exe
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
アドウェアは、以下のフォルダを作成します。
- %User Temp%\is{random number}
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
アドウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\InstallCore
その他
アドウェアは、以下の不正なWebサイトにアクセスします。
- rp.{BLOCKED}codecpackapp.com/?pcrc={value}
- www.{BLOCKED}tcodecpackapp.com/gb/welcome/?sr=gb&lp=sag&c=1
- os2.{BLOCKED}codecpackapp.com/CM/?v={version}&c={value}
- os-test.{BLOCKED}codecpackapp.com/CM/?v={version}&c={value}
- cdnus.{BLOCKED}codecpackapp.com/ofr/DealPly/Dealply.cis
- cdnus.{BLOCKED}codecpackapp.com/app/Cmp/codecpack.cis
ただし、情報公開日現在、このWebサイトにはアクセスできません。