Trend Micro Security

ADW_DOMAIQ

2015年9月5日
 更新者 : Rhena Inocencio

 別名:

a variant of Win32/DomaIQ.BI application (Kaspersky), a variant of Win32/DomaIQ.BI application (ESET), Adware-DomaIQ. (McAfee)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。


  詳細

ファイルサイズ 1,390,864 bytes
タイプ EXE
メモリ常駐 なし
発見日 2014年7月14日

侵入方法

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

アドウェアは、以下のファイルを作成します。

  • %User Temp%\{GUID}\bin.dmc
  • %User Temp%\{GUID}\bin\bin.html
  • %User Temp%\{GUID}\config.dmc
  • %User Temp%\{GUID}\temp

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

その他

アドウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}i.v2.{BLOCKED}dls.com/index.php/api/361/JFileManager/638/1026/English/WW.xml
  • http://{BLOCKED}i.v2.{BLOCKED}dls.com/index.php/apiLoading/1026.html
  • http://{BLOCKED}x.{BLOCKED}ads.com/www/delivery/ajs.php?zoneid=24&cb=26411842423&charset=utf-8&loc=http%3A//www.action-confirmed.com/9uPh7nUh/dec01/%3Fsite_code%3Dclp%26section_code%3D638
  • http://{BLOCKED}x.{BLOCKED}ads.com/www/delivery/ajs.php?zoneid=24&cb=74873207662&charset=utf-8&loc=http%3A//www.action-confirmed.com/9uPh7nUh/dec01/%3Fsite_code%3Dclp%26section_code%3D638
  • http://{BLOCKED}x.{BLOCKED}ads.com/www/delivery/lg.php?bannerid=196&campaignid=6&zoneid=24&loc=http%3A%2F%2Fwww.action-confirmed.com%2F9uPh7nUh%2Fdec01%2F%3Fsite_code%3Dclp%26section_code%3D638&cb=69212c0971
  • http://{BLOCKED}x.{BLOCKED}ads.com/www/delivery/lg.php?bannerid=196&campaignid=6&zoneid=24&loc=http%3A%2F%2Fwww.action-confirmed.com%2F9uPh7nUh%2Fdec01%2F%3Fsite_code%3Dclp%26section_code%3D638&cb=a902ea6f12
  • http://{BLOCKED}ticrr.{BLOCKED}box101.com//Displays/Templates/756e2734_Win_A_Banner-NoLink-DeclineLink-Java.zip
  • http://{BLOCKED}ticrr.{BLOCKED}box101.com//Docking/Docking.zip
  • http://{BLOCKED}ticrr.{BLOCKED}box101.com//Styles/Templates/e9c1a9ca_Win_A_Banner_DeclineLink.zip
  • http://{BLOCKED}icrr.{BLOCKED}download.net/Loading/b111f3f2_loading_java-similar/box.html
  • http://www.{BLOCKED}onfirmed.com/9uPh7nUh/dec01/?site_code=clp§ion_code=638
  • http://www.{BLOCKED}onfirmed.com/lpresources/js/ainj.js
  • http://www.{BLOCKED}onfirmed.com/lpresources/js/linkv2.js
  • http://{BLOCKED}ticrr.{BLOCKED}box101.com//Docking/Docking.zip
  • http://{BLOCKED}ticrr.{BLOCKED}box101.com//sdb/8c/JFileManagerSetup.exe
  • http://{BLOCKED}l.{BLOCKED}ocloud.com/ba/full/mon/setup.exe
  • http://{BLOCKED}ware.s3-website-us-east-1.amazonaws.com/7f1df2ad776e148c4007facb815b9b4a/Cloud_Backup_Setup.exe
  • http://{BLOCKED}l.{BLOCKED}rvers.net/111000713/OptimizerPro.exe
  • http://{BLOCKED}n.{BLOCKED}load.org/apps/dist/5555-1001_NewPlayer.exe
  • http://{BLOCKED}l.{BLOCKED}focloud.com/ba/full/mon/setup.exe


  対応方法

対応検索エンジン: 9.700

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %User Temp%\{GUID}

手順 3

最新のバージョン(エンジン、スパイウェアパターンファイル)を導入したウイルス対策製品を用い、スパイウェア検索を実行してください。「ADW_DOMAIQ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_DOMAIQ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください