ADW_KRADDARE.GA 2016年1月5日
解析者: Don Ovid Ladores
マルウェアタイプ: アドウェア 破壊活動の有無: なし 暗号化: 感染報告の有無: はい アドウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 アドウェアは、公式・非公式のアプリストアからダウンロードされ、モバイル端末に侵入します。
侵入方法
アドウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
アドウェアは、公式・非公式のアプリストアからダウンロードされ、モバイル端末に侵入します。
インストール
アドウェアは、以下のファイルを作成します。
%Temp%\nseF.tmp\IEKill.dll %Temp%\nseF.tmp\KillProcDLL.dll %Temp%\nseF.tmp\UnProtectMode.dll %Temp%\nseF.tmp\DLLWebCount.dll %Temp%\nseF.tmp\SelfDelete.dll C:\DelUS.bat C:\Program Files\SRankingPopView\srankingp.exe (detected as ADW_KRADDARE.GA) C:\Program Files\SRankingPopView\sranking.dll (detected as ADW_KRADDARE.GA) C:\Program Files\SRankingPopView\srankingdc.exe (detected as ADW_KRADDARE.GA) C:\Program Files\SRankingPopView\uninstall.exe (註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
アドウェアは、以下のプロセスを作成してシステムのプロセスに常駐します。
自動実行方法
アドウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKCU\Software\Microsoft\ Windows\CurrentVersion\Run SRankingPopView = %Program Files%\SRankingPopView\srankingp.exe
HKCU\Software\Microsoft\ Windows\CurrentVersion\Run SRankingPopViewupdate = %Program Files%\SRankingPopView\srankingdc.exe
アドウェアは、以下のレジストリ値を追加し、自身をBrowser Helper Object(BHO)として登録します。これにより、Internet Explorer(IE)が起動するとアドウェアが自動実行されます。
HKLM\SOFTWARE\Classes\ CLSID\{4486A2C8-DAE1-4862-9265-2F4948F9F980}\InprocServer32 ThreadingModel = Apartment
HKLM\SOFTWARE\Classes\ CLSID\{4486A2C8-DAE1-4862-9265-2F4948F9F980} AppID = {889F12BD-FA8E-4D33-ACE0-EBB68BC44AA3}
HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ Browser Helper Objects\{4486A2C8-DAE1-4862-9265-2F4948F9F980} NoExplorer = 1
HKLM\SOFTWARE\Classes\ Interface\{D28445FF-A45D-486F-B682-2FE8196555F7}\TypeLib Version = 1
HKCU\Software\Microsoft\ Windows\CurrentVersion\Explorer\ MountPoints2\{50acfe2a-c8f0-11df-9e33-000c296817cc} BaseClass = Drive
HKCU\Software\Microsoft\ Windows\CurrentVersion\Explorer\ MountPoints2\{e2d01591-c92b-11df-94c2-806d6172696f} BaseClass = Drive
HKLM\SOFTWARE\Microsoft\ Internet Explorer\Low Rights\ElevationPolicy\ {F973817F-8D70-4b6b-BB7E-AAB4DB45463C} Appname = srankingp.exe
HKLM\SOFTWARE\Microsoft\ Internet Explorer\Low Rights\ElevationPolicy\ {F973817F-8D70-4b6b-BB7E-AAB4DB45463C} AppPath = %Program Files%\SRankingPopView\
HKLM\SOFTWARE\Classes\ AppID\scattertap.DLL AppID = {889F12BD-FA8E-4D33-ACE0-EBB68BC44AA3}
情報漏えい
アドウェアは、以下の情報を収集します。
visited pages search engine queries 情報収集
アドウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
http://www.{BLOCKED}ck.co.kr/adver_partner/CallKeyword.php?addr={Host IP Address}&q={Site & Search Query}&uCode=popview 手順 1
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_KRADDARE.GA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 2
自身のアンインストールオプションを使用し、「ADW_KRADDARE.GA」を削除します。
[ 詳細 ]
[ 戻る ]
マルウェアのプロセスの削除
マルウェアのプロセスの削除 :
コントロールパネルを開きます。 • Windows 2000、XP および Server 2003 の場合: [スタート]-[コントロールパネル]をクリックし、[プログラムの追加と削除]をダブルクリックします。 • Windows XP、Server 2003、Vista、7、Server 2008、8、8.1 および Server 2012 の場合 : [コントロールパネル]が、クラシック表示 (Windows Vista) または大アイコン/小アイコンによる表示 (Windows 7およびそれ以上のバージョン)であることを確認してください。(Windows XP および Server 2003は除く) • Windows Vista、7 および Server 2008 の場合: [スタート]-[コントロールパネル]-[プログラム]-[プログラムと機能]をクリックします。 • Windows 8、8.1 および Server 2012 の場合: 画面の左下隅を右クリックし、[スタート]-[コントロールパネル]-[プログラムと機能]を選択します。 表示されたリストから以下のプログラムを選択します。 SRankingPopView [削除]をクリックします。 表示されるダイアログボックスの指示に従ってください。 [プログラムの追加と削除]ウインドウを閉じ、[コントロール パネル]ウインドウも閉じます。 手順 3
メモリ上で実行されているプロセスを終了します。
[ 詳細 ]
[ 戻る ]
検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。 セーフモードについては、こちら をご参照下さい。 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。 マルウェアのプロセス終了:
CTRL+SHIFT+ESCを押し、タスクマネージャを起動します。 実行中のプログラムのリストを表示します。 • Windows 2000、XP、Server 2003 、Vista、7 および Server 2008の場合: [プロセス]タブをクリックします。 • Windows 8、8.1および Server 2012の場合: [詳細]タブをクリックします。 実行中のプログラムのリストから、以下のプロセスを選択します。 srankingp.exe 使用しているWindowsのバージョンに応じて、[タスクの終了]、または、[プロセスの終了]をクリックします。 マルウェアのプロセスが終了されているかを確認するには、タスクマネージャを閉じ、再度開いてください。 タスクマネージャを閉じてください。 手順 4
このレジストリ値を削除します。
[ 詳細 ]
[ 戻る ]
警告: レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。 レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。 レジストリの編集前にこちら をご参照ください。
このマルウェアが追加したレジストリ値の削除 :
「レジストリエディタ」を起動します。 Windows 2000、XP および Server 2003 の場合: [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。 Windows Vista、7 および Server 2008 の場合: [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。 Windows 8、8.1 および Server 2012 の場合: 画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。 ※regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run 右側のパネルで以下のレジストリ値を検索し、削除します。 SRankingPopView = 右側のパネルで以下のレジストリ値を検索し、削除します。 SRankingPopViewupdate = 「レジストリエディタ」を閉じます。 手順 5
このレジストリキーを削除します。
[ 詳細 ]
[ 戻る ]
警告: レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。 レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。 レジストリの編集前にこちら をご参照ください。
このマルウェアが追加したレジストリキーの削除 :
コンピュータをセーフモードで再起動します。セーフモードでの再起動については、こちら をご参照下さい。 「レジストリエディタ」を起動します。 Windows 2000、XP および Server 2003 の場合: [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。 Windows Vista、7 および Server 2008 の場合: [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。 Windows 8、8.1 および Server 2012 の場合: 画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。 ※regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。 HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{50acfe2a-c8f0-11df-9e33-000c296817cc}
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e2d01591-c92b-11df-94c2-806d6172696f}
HKEY_Local_Machine\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F973817F-8D70-4b6b-BB7E-AAB4DB45463C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\scattertap.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4486A2C8-DAE1-4862-9265-2F4948F9F980}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4486A2C8-DAE1-4862-9265-2F4948F9F980}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D28445FF-A45D-486F-B682-2FE8196555F7}\TypeLib
HKEY_Current_User\Software\sranking\dcdata
HKEY_Current_User\Software\sranking
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SRankingPopView uninstall
「レジストリエディタ」を閉じます。 手順 6
以下のファイルを検索し削除します。
[ 詳細 ]
[ 戻る ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
マルウェアのコンポーネントファイルの削除:
Windows 2000、XP および Server 2003 の場合: [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。 %Temp%\nseF.tmp\IEKill.dll
%Temp%\nseF.tmp\KillProcDLL.dll
%Temp%\nseF.tmp\UnProtectMode.dll
%Temp%\nseF.tmp\DLLWebCount.dll
%Temp%\nseF.tmp\SelfDelete.dll
C:\DelUS.bat
C:\Program Files\SRankingPopView\srankingp.exe
C:\Program Files\SRankingPopView\sranking.dll
C:\Program Files\SRankingPopView\srankingdc.exe
C:\Program Files\SRankingPopView\uninstall.exe
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。註: ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)
Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合: Windowsエクスプローラ画面を開きます。 Windows Vista、7 および Server 2008 の場合: Windows 8、8.1 および Server 2012 の場合:画面の左下隅を右クリックし、[エクスプローラー]を選択します。 [コンピューターの検索]に、以下を入力します。 %Temp%\nseF.tmp\IEKill.dll
%Temp%\nseF.tmp\KillProcDLL.dll
%Temp%\nseF.tmp\UnProtectMode.dll
%Temp%\nseF.tmp\DLLWebCount.dll
%Temp%\nseF.tmp\SelfDelete.dll
C:\DelUS.bat
C:\Program Files\SRankingPopView\srankingp.exe
C:\Program Files\SRankingPopView\sranking.dll
C:\Program Files\SRankingPopView\srankingdc.exe
C:\Program Files\SRankingPopView\uninstall.exe
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。 註: Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイト をご確認ください。 ご利用はいかがでしたか? アンケートにご協力ください