Trend Micro Security

ADW_EASYDOWN

2012年10月9日
 解析者: rolandde   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

  詳細

ファイルサイズ 4,652,512 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年10月12日
ペイロード ファイルの作成, システムのレジストリの変更, ファイルのダウンロード

侵入方法

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

アドウェアは、以下の無害なファイルを作成します。

  • %System Root%\Documents and Settings\All Users\Desktop\Click-n-Load Quick Start.lnk
  • %System Root%\Documents and Settings\All Users\Desktop\EasyDownloads.lnk
  • %System Root%\Documents and Settings\All Users\Start Menu\EasyDownloads\Click-n-Load Quick Start.lnk
  • %System Root%\Documents and Settings\All Users\Start Menu\EasyDownloads\EasyDownloads.lnk
  • %System Root%\Documents and Settings\All Users\Start Menu\EasyDownloads\Uninstall.lnk
  • %Program Files%\Easy Downloads\click-n-load_ico.ico
  • %Program Files%\Easy Downloads\current-cloud.html
  • %Program Files%\Easy Downloads\easydl.exe
  • %Program Files%\Easy Downloads\easydownloads.exe
  • %Program Files%\Easy Downloads\gotourl.url
  • %Program Files%\Easy Downloads\htmlayout.dll
  • %Program Files%\Easy Downloads\uninstall.exe
  • %User Temp\htmlayout.dll

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%は、標準設定では "C:\Program Files" です。)

アドウェアは、以下のフォルダを作成します。

  • %System Root%\Documents and Settings\All Users\Start Menu\EasyDownloads
  • %Program Files%\Easy Downloads

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%は、標準設定では "C:\Program Files" です。)

自動実行方法

アドウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
EasyDownloads = "%Program Files%\Easy Downloads\easydownloads.exe" -tray

他のシステム変更

アドウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\Magnet\DefaultIcon
@ = "%Program Files%\Easy Downloads\easydownloads.exe",0

HKEY_CLASSES_ROOT\Magnet\shell
@ = open

HKEY_CLASSES_ROOT\Magnet\shell\
open\command
@ = "%Program Files%\Easy Downloads\easydownloads.exe" "%1"

HKEY_CLASSES_ROOT\Magnets
@ = Magnets URI

HKEY_CLASSES_ROOT\Magnets
Content Type = application/x-magnets

HKEY_CLASSES_ROOT\Magnets\DefaultIcon
@ = "%Program Files%\Easy Downloads\easydownloads.exe",0

HKEY_CLASSES_ROOT\Magnets\shell
@ = open

HKEY_CLASSES_ROOT\Magnets\shell\
open\command
@ = "%Program Files%\Easy Downloads\easydownloads.exe" "%1"

HKEY_CURRENT_USER\Software\EasyDownloads
version = tr74adv5

HKEY_CURRENT_USER\Software\EasyDownloads
userid = {user ID}

HKEY_CURRENT_USER\Software\EasyDownloads
date = {encoded value}

HKEY_CURRENT_USER\Software\EasyDownloads
installdate = {hex values}

HKEY_CURRENT_USER\Software\EasyDownloads
SoftID = {SID}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\magnet
WarnOnOpen dword:00000000 = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\magnets
WarnOnOpen = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads
DisplayName = EasyDownloads - fastest downloads in two clicks!

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads
UninstallString = "%Program Files%\Easy Downloads\uninstall.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads
DisplayIcon = %Program Files%\Easy Downloads\easydownloads.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads
Publisher = http://izloader.com/

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads
InstallLocation = %Program Files%\Easy Downloads

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads
URLInfoAbout = http://izloader.com/

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads
DisplayVersion = 1.0.0.1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Easy Downloads\easydownloads.exe = %Program Files%\Easy Downloads\easydownloads.exe:*:Enabled:EasyDownloads

HKEY_CLASSES_ROOT\Magnet
@ = Magnet URI

HKEY_CLASSES_ROOT\Magnet
Content Type = application/x-magnet

HKEY_CLASSES_ROOT\Magnet
URL = Protocol

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Easy Downloads\easydl.exe = %Program Files%\Easy Downloads\easydl.exe:*:Enabled:EasyDownloadsDL

アドウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Magnets\DefaultIcon

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
EasyDownloads

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\magnet

HKEY_CLASSES_ROOT\Magnets\shell

HKEY_CLASSES_ROOT\Magnet\shell

HKEY_CLASSES_ROOT\Magnet

HKEY_CLASSES_ROOT\Magnets

HKEY_CLASSES_ROOT\Magnet\DefaultIcon

HKEY_CLASSES_ROOT\Magnets\shell\
open

HKEY_CLASSES_ROOT\Magnets\shell\
open\command

HKEY_CURRENT_USER\Software\EasyDownloads

HKEY_LOCAL_MACHINE\SOFTWARE\EasyDownloads

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ProtocolExecute\magnets

  対応方法

対応検索エンジン: 9.200

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、スパイウェアパターンファイル)を導入したウイルス対策製品を用い、スパイウェア検索を実行してください。「ADW_EASYDOWN」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 3

自身のアンインストールオプションを使用し、「ADW_EASYDOWN」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除


ご利用はいかがでしたか? アンケートにご協力ください