Trend Micro Security

ADW_OPTIPRO

2015年11月3日

 別名:

not-a-virus:RiskTool.Win32.OptimizerPro.b (Kaspersky), Riskware/OptimizerPro (Fortinet), OptimizerPro (Symantec)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。


  詳細

ファイルサイズ 5,792,288 bytes
タイプ EXE
発見日 2014年11月4日

侵入方法

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

アドウェアは、以下のファイルを作成します。

  • %Desktop%\Optimizer Pro.lnk
  • %Program Files%\Optimizer Pro\bg_new3.bmp
  • %Program Files%\Optimizer Pro\cancel.bmp
  • %Program Files%\Optimizer Pro\CookiesException.txt
  • %Program Files%\Optimizer Pro\English.ini
  • %Program Files%\Optimizer Pro\file_id.diz
  • %Program Files%\Optimizer Pro\HomePage.url
  • %Program Files%\Optimizer Pro\itdownload.dll
  • %Program Files%\Optimizer Pro\OptimizerPro.chm
  • %Program Files%\Optimizer Pro\OptimizerPro.exe
  • %Program Files%\Optimizer Pro\OptProCrash.dll
  • %Program Files%\Optimizer Pro\OptProGuard.exe
  • %Program Files%\Optimizer Pro\OptProHelper.dll
  • %Program Files%\Optimizer Pro\OptProLauncher.exe
  • %Program Files%\Optimizer Pro\OptProReminder.exe
  • %Program Files%\Optimizer Pro\OptProSchedule.exe
  • %Program Files%\Optimizer Pro\OptProSmartScan.exe
  • %Program Files%\Optimizer Pro\OptProStart.exe
  • %Program Files%\Optimizer Pro\OptProUninstaller.exe
  • %Program Files%\Optimizer Pro\scan.gif
  • %Program Files%\Optimizer Pro\sqlite3.dll
  • %Program Files%\Optimizer Pro\StartupList.txt
  • %Program Files%\Optimizer Pro\unins000.dat
  • %Program Files%\Optimizer Pro\unins000.exe
  • %Program Files%\Optimizer Pro\unins000.msg
  • %User Temp%\is-{random}.tmp\itdownload.dll
  • %User Temp%\is-{random}.tmp\OptProCrash.dll
  • %User Temp%\is-{random}.tmp\OptProHelper.dll
  • %User Temp%\is-{random}.tmp\_isetup\_shfoldr.dll
  • %All Users Profile%\Start Menu\Programs\Optimizer Pro v3.2\Check updates.lnk
  • %All Users Profile%\Start Menu\Programs\Optimizer Pro v3.2\Help.lnk
  • %All Users Profile%\Start Menu\Programs\Optimizer Pro v3.2\Optimizer Pro on the Web.lnk
  • %All Users Profile%\Start Menu\Programs\Optimizer Pro v3.2\Optimizer Pro.lnk
  • %All Users Profile%\Start Menu\Programs\Optimizer Pro v3.2\Uninstall Optimizer Pro.lnk

(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

アドウェアは、以下のフォルダを作成します。

  • %Program Files%\Optimizer Pro
  • %User Temp%\is-{random}.tmp\_isetup
  • %All Users Profile%\Start Menu\Programs\Optimizer Pro v3.2

(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

自動実行方法

アドウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Optimizer Pro = "%Program Files%\Optimizer Pro\OptProLauncher.exe"

他のシステム変更

アドウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Optimizer Pro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Optimizer Pro_is{number}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ca82e1a5

アドウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Optimizer Pro
UseAds = "1"

HKEY_CURRENT_USER\Software\Optimizer Pro
DelayedStart = "5"

HKEY_CURRENT_USER\Software\Optimizer Pro
AdsHost = "dl.repairlabshost.com"

HKEY_CURRENT_USER\Software\Optimizer Pro
AdsDownloadURL = "http://dl.repairlabshost.com/121000600/DriverPro.exe"

HKEY_CURRENT_USER\Software\Optimizer Pro
AdsBuyNowURL = "http://www.safeshopgate.com/r?s={value}&g={GUID}"

HKEY_CURRENT_USER\Software\Optimizer Pro
SetupName = "{grayware path and filename}"

HKEY_CURRENT_USER\Software\Optimizer Pro
InstallDate = "{installation date}"

HKEY_CURRENT_USER\Software\Optimizer Pro
MachineGuid = "{GUID}"

HKEY_CURRENT_USER\Software\Optimizer Pro
Querry = "http://bi.softservers.net/t/op?sid={value}-{country}-{value}&dt=%dt%&gid=%GID%&tz=%tz%&ln=%ln%&lc=%lc%&bis=%bis%&bief=%bief%&biefx=%biefx%&bif=%bif%&os=%os%&f={value}"

HKEY_CURRENT_USER\Software\Optimizer Pro
UninstallURL = "https://safecart.com/pcutilitiespro/.op-special/purchase?sid={value}-{country}-{value}"

HKEY_CURRENT_USER\Software\Optimizer Pro
SupportURL = "http://support.pcutilitiespro.com/"

HKEY_CURRENT_USER\Software\Optimizer Pro
HomePageURL = "http://www.pcutilitiespro.com/"

HKEY_CURRENT_USER\Software\Optimizer Pro
BuyNowURL = "http://gen.securedshopgate.com/?t=01&tid={value}-{country}-{value}_{GUID}&a=pcup22"

HKEY_CURRENT_USER\Software\Optimizer Pro
ShowEUA = "1"

その他

アドウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}zepro.biz/inst?sid={SID}&st={value}&e={value}
  • http://{BLOCKED}zepro.biz/inst?hid={ID}&sid={SID}&tr={value}-{country}-{value}&a={value}&adm=1&os={OS version}&{OS architecture=0&sil={value}&st={value}&e={value}
  • http://{BLOCKED}o.info/get/?q=rUs1L5TVyOvae5CvqoIHqzLMRIBSYadXb4DF6iKQ/utGS596QvKFuaiXH3eYBm8ohKxz65G%2Br/WcOITxA634/5T3VOWIDECkesABPbH9rx5ln9zueygKCuY%2BwyHwNJTDHk9ebE9qWkYNLL0kR3zldNe8gs7nU4I156Dbu9gZ0QiZsEAlpmcXkNwKSPJphNHkJfSrGT5dhAw3yoPxIHdArUjhWo97KwEHrrxGAPNeRkAxFcuoB24OsWXFAXmkNCePE8xPmQeq2GNHUVslYxwjmb7kaTaZ6Ff6NQv1Om6JsdXyM3Acok2XphSMW6JJDvOeZTvsTmU%2BAtgtjHVXNGxSqo%2BTO%2BxoUpAIRqpSDzDvDPwQ4s14fq%2BrKQoUeUJOpDbNR%2Btygt0f8rnq34KIIAzQPj5FG3v60wsL/WC/JasmcjOOVCGYjVMNmlglX5N5EperM5ltW0PGPAJCDZmVzuzu1SxDs9G8r47yMjbaNswbVKJxGuh1gp8/IUiZ%2BYkEudbVq0og4BDmvh8uabZ8E6MypYP/Bf3RF6NcMOQI
  • http://{BLOCKED}ive.com/get/?q=a1Fig%2BNPuIS7uje%2BxzU6J6%2B95Sk0IiiU4KrtuD/MTbbu5KFqdgiVkp/NxVqpe7GhfzB7jYjxfC8F9XdIEIo6ZV0w1iV7e9znlgotCA24m80ORMr2rdcwiyBiE/12pVNnJuzLs0MT3OiJe6L9xa6VLlEqDKbKbPEvi7I74gPyE6tE7NYPIX0f3r8aqC7tq5hLgv4I3jkNVg7F8PndlfNhHBDP5bSMrt6JjNd9/7hT230Sm%2BZLaDAJBDbs2cGyQkrw%2Bwt1Xiu5wzJrmvhUtPS45/OB72tFkn6x52XKQkB5SYLhRfZrf8EgNxYUA2xzmfdHFZWmKEGmdrEqftdHuewZsWUV/W2SOLxUi4l2ld2w5yiGhEqYuQokH7230u%2BViYE6PJofYYLBQm0nVVl0p/lLJ%2BiJQoJ0rUkpJSP%2BUTGRnQMU2WRpG/W30rSFLDYtboVwIxAVUwb6JGWQDwfCDCyPNTol6eoXHMIbiXwBqUtwqPs9jxjiy3OA%2BDC33uLHo9SxLC4VLxLVh22LWNtFObUdUCWe2k75dBU22345

アドウェアは、以下のサービスを追加し、実行します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ca82e1a5
ImagePath = ""%System%\rundll32.exe" "%Program Files%\Optimizer Pro\OptProCrash.dll",ENT"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ca82e1a5
DisplayName = "Optimizer Pro Crash Monitor"