ADW_INSTALLCOR

2014年6月25日

解析者: Jimelle Monteser

別名:

a variant of Win32/InstallCore.OG application (NOD32), ADWARE/InstallCore.Gen9 (Antivir), Trojan.Win32.Generic!BT (Sunbelt)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: アドウェア
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

アドウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのアドウェアが削除されるのを避けます。アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。

詳細

ファイルサイズ 802,096 bytes

タイプ EXE

メモリ常駐なし

発見日 2014年6月12日

侵入方法

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

アドウェアは、以下のフォルダを追加します。

%All Users Profile%\Start Menu\Programs\PDF Creator
%Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\07d30d01-d53a-4888-ab62-d69ffc6b9b11
%User Temp%\is{random}
%Program Files%\GPLGS
%Program Files%\PDF Creator
%Program Files%\PDF Creator\Driver
%Program Files%\PDF Creator\Driver\X64
%Program Files%\PDFCreator
%Program Files%\PDFCreator\Actual

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

他のシステム変更

アドウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Forms

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86\CPWPV305:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator

アドウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Printers\DevModePerUser
PDF Creator = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:
Destination Folder = "%Program Files%\PDFCreator\Actual\"

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:
Converter = "%Program Files%\PDFCreator\Actual\GNUGS"

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15
GS_LIB = "C:\Program Files\GPLGS"

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15
GS_DLL = "C:\Program Files\GPLGS\gsdll32.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Name = "PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Share Name = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Print Processor = "WinPrint"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Datatype = "RAW"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Parameters = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Action = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
ObjectGUID = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
DsKeyUpdate = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
DsKeyUpdateForeground = "3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Printer Driver = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Default DevMode = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Priority = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Default Priority = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
StartTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
UntilTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Attributes = "240"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
txTimeout = "afc8"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
dnsTimeout = "3a98"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Security = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Port = "CPWPV305:"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printBinNames = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printCollate = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printColor = "1"

printDuplexSupported
printDuplexSupported = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printStaplingSupported = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxXExtent = "00007fff"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxYExtent = "00007fff"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMinXExtent = "000000fe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMinYExtent = "000000fe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printNumberUp = "6"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMemory = "1000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxResolutionSupported = "fa0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printRate = "00000190"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printRateUnit = "PagesPerMinute"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printPagesPerMinute = "00000190"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
"00000401" = "00000401"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
driverName = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printStartTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printEndTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printerName = "PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printKeepPrintedJobs = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printSpooling = "PrintAfterSpooled"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
priority = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
uNCName = "\{username}\PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
versionNumber = "00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
serverName = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
shortServerName = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
flags = "00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
InitDriverVersion = "00000600"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
FreeMem = "00001000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
JobTimeOut = "00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
Protocol = "00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
PrinterDataSize = "00000230"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
FeatureKeywordSize = "00000018"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
Forms? = "04d0c2a5"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Devices
PDF Creator = "winspool,Ne02:"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\PrinterPorts
PDF Creator = "winspool,Ne02:,15,45"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Ports
Ne02: = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
ChangeID = "00c7bd6c"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Status = "00000080"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Configuration File = "PS5UI.DLL"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Data File = "CUSTPDFW.PPD"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Driver = "PSCRIPT5.DLL"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Help File = "PSCRIPT.HLP"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Datatype = "RAW"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Version = "00000003"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
TempDir = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Attributes = "00000002"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86 Driver
{Default} = "custmon32i.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86\CPWPV305:
{Default} = "PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
ChangeID = "00c7bd6c"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Status = "00000080"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Name = "PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Print Processor = "WinPrint"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Datatype = "RAW"

Action
Action = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
DsKeyUpdate = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
DsKeyUpdateForeground = "00000003

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Printer Driver = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Priority = "00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Default Priority = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
StartTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
UntilTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
"00000240" = "00000240"

txTimeout
"0000afc8" = "0000afc8"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
dnsTimeout = "00003a98"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Port = "CPWPV305:"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxXExtent = "00007fff"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxYExtent = "00007fff"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMinXExtent = "000000fe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMinYExtent = "000000fe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printNumberUp = "00000006"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMemory = "00001000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxResolutionSupported = "00000fa0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printRate = "00000190"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printRateUnit = "PagesPerMinute"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printPagesPerMinute = "00000190"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
driverVersion = "00000401"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
driverName = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printStartTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printEndTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printerName = "PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printSpooling = "PrintAfterSpooled"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
priority = "00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
uNCName = "\{username}\PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
versionNumber = "00000004"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
serverName = "{username}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
shortServerName = "{username}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
flags = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
InitDriverVersion = "00000600"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
FreeMem = "00001000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
JobTimeOut = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
Protocol = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
PrinterDataSize = "00000230"

作成活動

アドウェアは、以下のファイルを作成します。

%All Users Profile%\Start Menu\Programs\PDF Creator\Preferences.lnk
%All Users Profile%\Start Menu\Programs\PDF Creator\Readme.lnk
%All Users Profile%\Start Menu\Programs\PDF Creator\Uninstall PDF Creator.lnk
%User Temp%\is{random}\12726241_stp.EXE
%User Temp%\is{random}\12726241_stp.EXE.part
%Program Files%\PDF Creator\Converter.exe
%Program Files%\PDF Creator\CPWriter2.exe
%Program Files%\PDF Creator\custmon32i.dll
%Program Files%\PDF Creator\custmon64i.dll
%Program Files%\PDF Creator\custmoni.dll
%Program Files%\PDF Creator\Driver\CUSTPDFW.PPD
%Program Files%\PDF Creator\Driver\CUSTPDFW.SPD
%Program Files%\PDF Creator\Driver\FONTS.MFM
%Program Files%\PDF Creator\Driver\ICONLIB.DLL
%Program Files%\PDF Creator\Driver\PS5UI.DLL
%Program Files%\PDF Creator\Driver\PSCRIPT.DRV
%Program Files%\PDF Creator\Driver\PSCRIPT.HLP
%Program Files%\PDF Creator\Driver\PSCRIPT.INI
%Program Files%\PDF Creator\Driver\PSCRIPT.NTF
%Program Files%\PDF Creator\Driver\PSCRIPT5.DLL
%Program Files%\PDF Creator\Driver\PSMON.DLL
%Program Files%\PDF Creator\Driver\TESTPS.TXT
%Program Files%\PDF Creator\Driver\X64\PS5UI.DLL
%Program Files%\PDF Creator\Driver\X64\PSCRIPT.HLP
%Program Files%\PDF Creator\Driver\X64\PSCRIPT.NTF
%Program Files%\PDF Creator\Driver\X64\PSCRIPT5.DLL
%Program Files%\PDF Creator\message.exe
%Program Files%\PDF Creator\PDFWrite.rsp
%Program Files%\PDF Creator\pdfwriter.exe
%Program Files%\PDF Creator\pdfwriter32.exe
%Program Files%\PDF Creator\pdfwriter64.exe
%Program Files%\PDF Creator\Preferences.exe
%Program Files%\PDF Creator\Readme.htm
%Program Files%\PDF Creator\Setup.exe
%Program Files%\PDF Creator\Setup.inf
%Program Files%\PDF Creator\unInstpw.exe
%Program Files%\PDF Creator\unInstpw64.exe
%Program Files%\PDFCreator\Actual\CPWriter2.exe
%Program Files%\PDFCreator\Actual\PDFWrite.rsp
%Program Files%\PDFCreator\Actual\pdfwriter.exe
%Program Files%\PDFCreator\Actual\Preferences.exe
%Program Files%\PDFCreator\Actual\README.HTM
%Program Files%\PDFCreator\Actual\setup.inf
%Program Files%\PDFCreator\Actual\uninstpw.exe
C:\WINDOWS\system32\custmon32i.dll
C:\WINDOWS\system32\spool\drivers\w32x86\CUSTPDFW.PPD
C:\WINDOWS\system32\spool\drivers\w32x86\PS5UI.DLL
C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.HLP
C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.NTF
C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT5.DLL
C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.BPD
C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.PPD

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

その他

アドウェアは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator
DisplayName = "PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator
UninstallString = "%Program Files%\PDFCreator\Actual\uninstpw.exe %Program Files%\PDFCreator\Actual\"

アドウェアは、以下の不正なWebサイトにアクセスします。

http://static.{BLOCKED}ps-online.com/exe/PDFCreator.exe
http://www.{BLOCKED}pdf-converter.com/pdf-creator/welcome/oc/?{random characters}

アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。

対応方法

対応検索エンジン: 9.700

SSAPI パターンバージョン: 1.518.22

SSAPI パターンリリース日: 2014年6月14日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「ADW_INSTALLCOR」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

自身のアンインストールオプションを使用し、「ADW_INSTALLCOR」を削除します。

[ 詳細 ]

マルウェアのプロセスの削除

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE
- CUSTPDF Writer
In HKEY_LOCAL_MACHINE\SOFTWARE
- GPL Ghostscript
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers
- PDF Creator
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
- Forms
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-3
- CUSTPDF Writer
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
- CUSTPDF Writer Monitor x86
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers
- PDF Creator
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- PDF Creator

このマルウェアが追加したレジストリキーの削除：

「レジストリエディタ」を起動します。
[スタート]-[ファイル名を指定して実行]を選択し、"regedit" と入力し、[OK]キーを押します。
※"regedit" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
CUSTPDF Writer
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
GPL Ghostscript
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Print>Printers
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
PDF Creator
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Print
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
Forms
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Print>Environments>Windows NT x86>Drivers>Version-3
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
CUSTPDF Writer
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Print>Monitors
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
CUSTPDF Writer Monitor x86
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Print>Printers
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
PDF Creator
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Uninstall
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
PDF Creator
「レジストリエディタ」を閉じます。

手順 5

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Printers\DevModePerUser
- PDF Creator = "{value}"
In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
- PDF Creator = "winspool,Ne02:"
In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts
- PDF Creator = "winspool,Ne02:,15,45"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports
- Ne02: = ""

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%All Users Profile%\Start Menu\Programs\PDF Creator
%Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\07d30d01-d53a-4888-ab62-d69ffc6b9b11
%User Temp%\is{random}
%Program Files%\GPLGS
%Program Files%\PDF Creator
%Program Files%\PDFCreator

手順 7

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

C:\WINDOWS\system32\custmon32i.dll
C:\WINDOWS\system32\spool\drivers\w32x86\CUSTPDFW.PPD
C:\WINDOWS\system32\spool\drivers\w32x86\PS5UI.DLL
C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.HLP
C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.NTF
C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT5.DLL
C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.BPD
C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.PPD

手順 8

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_INSTALLCOR」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください