Trend Micro Security

ADW_PLAYNEW

2014年11月20日
 解析者: Jaime Benigno Reyes   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

アドウェアは、ワーム活動の機能を備えていません。

アドウェアは、バックドア活動の機能を備えていません。

アドウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのアドウェアが削除されるのを避けます。 アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2014年10月9日
ペイロード URLまたはIPアドレスに接続, 広告の表示

侵入方法

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

アドウェアは、以下のコンポーネントファイルを作成します。

  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\NewPlayer\Uninstall.lnk (Windows Vista and higher versions)
  • %All Users Profile%\Start Menu\Programs\NewPlayer\Uninstall.lnk (Versions lower than Windows Vista)
  • %AppDataLocal%\newplayer\config\config.ini
  • %AppDataLocal%\newplayer\log.txt
  • %Desktop%\NewPlayer.lnk
  • %Program Files%\NewPlayer\AddOn\ChromeAddon\contentscript.js
  • %Program Files%\NewPlayer\AddOn\ChromeAddon\manifest.json
  • %Program Files%\NewPlayer\AddOn\ChromeAddon\script.js
  • %Program Files%\NewPlayer\AddOn\Thumbs.db
  • %Program Files%\NewPlayer\AddonNP.exe
  • %Program Files%\NewPlayer\FrameworkControl.exe
  • %Program Files%\NewPlayer\LTV2.exe
  • %Program Files%\NewPlayer\Languages\Arabic.ini
  • %Program Files%\NewPlayer\Languages\Bulgarian.ini
  • %Program Files%\NewPlayer\Languages\Catalan.ini
  • %Program Files%\NewPlayer\Languages\ChineseS.ini
  • %Program Files%\NewPlayer\Languages\ChineseT.ini
  • %Program Files%\NewPlayer\Languages\Czech.ini
  • %Program Files%\NewPlayer\Languages\Danish.ini
  • %Program Files%\NewPlayer\Languages\Dutch.ini
  • %Program Files%\NewPlayer\Languages\English.ini
  • %Program Files%\NewPlayer\Languages\Estonian.ini
  • %Program Files%\NewPlayer\Languages\Finnish.ini
  • %Program Files%\NewPlayer\Languages\French.ini
  • %Program Files%\NewPlayer\Languages\German.ini
  • %Program Files%\NewPlayer\Languages\Greek.ini
  • %Program Files%\NewPlayer\Languages\HaitianCreole.ini
  • %Program Files%\NewPlayer\Languages\Hebrew.ini
  • %Program Files%\NewPlayer\Languages\Hindi.ini
  • %Program Files%\NewPlayer\Languages\Hungarian.ini
  • %Program Files%\NewPlayer\Languages\Indonesian.ini
  • %Program Files%\NewPlayer\Languages\Italian.ini
  • %Program Files%\NewPlayer\Languages\Japanese.ini
  • %Program Files%\NewPlayer\Languages\Korean.ini
  • %Program Files%\NewPlayer\Languages\Latvian.ini
  • %Program Files%\NewPlayer\Languages\Lithuanian.ini
  • %Program Files%\NewPlayer\Languages\Norwegian.ini
  • %Program Files%\NewPlayer\Languages\Polish.ini
  • %Program Files%\NewPlayer\Languages\Portuguese.ini
  • %Program Files%\NewPlayer\Languages\Romanian.ini
  • %Program Files%\NewPlayer\Languages\Russian.ini
  • %Program Files%\NewPlayer\Languages\Slovak.ini
  • %Program Files%\NewPlayer\Languages\Slovenian.ini
  • %Program Files%\NewPlayer\Languages\Spanish.ini
  • %Program Files%\NewPlayer\Languages\Swedish.ini
  • %Program Files%\NewPlayer\Languages\Thai.ini
  • %Program Files%\NewPlayer\Languages\Turkish.ini
  • %Program Files%\NewPlayer\Languages\Ukrainian.ini
  • %Program Files%\NewPlayer\Languages\Vietnamese.ini
  • %Program Files%\NewPlayer\NewPlayerUpdate.xml
  • %Program Files%\NewPlayer\NewVideoPlayer.exe - also detected as ADW_PLAYNEW
  • %Program Files%\NewPlayer\NewVideoPlayerUpdater.exe
  • %Program Files%\NewPlayer\NewVideoPlayerUpdaterService.InstallLog
  • %Program Files%\NewPlayer\NewVideoPlayerUpdaterService.InstallState
  • %Program Files%\NewPlayer\NewVideoPlayerUpdaterService.exe
  • %Program Files%\NewPlayer\Newtonsoft.Json.dll
  • %Program Files%\NewPlayer\PhotoLoader.dll
  • %Program Files%\NewPlayer\UninstallAddons.exe
  • %Program Files%\NewPlayer\Windows\Thumbs.db
  • %Program Files%\NewPlayer\Windows\icon-play.ico
  • %Program Files%\NewPlayer\Windows\ifishplayer-icon.ico
  • %Program Files%\NewPlayer\dotNetFx40_Full_setup.exe
  • %Program Files%\NewPlayer\flaelojgnhjgiilnmignlkamlcncclph\1.0_0\contentscript.js
  • %Program Files%\NewPlayer\flaelojgnhjgiilnmignlkamlcncclph\1.0_0\manifest.json
  • %Program Files%\NewPlayer\flaelojgnhjgiilnmignlkamlcncclph\1.0_0\script.js
  • %Program Files%\NewPlayer\icon.ico
  • %Program Files%\NewPlayer\jid1-tce47bzfSrBDXQ@jetpack.xpi
  • %Program Files%\NewPlayer\policy.2.0.taglib-sharp.config
  • %Program Files%\NewPlayer\policy.2.0.taglib-sharp.dll
  • %Program Files%\NewPlayer\references\Interop.SHDocVw.dll
  • %Program Files%\NewPlayer\references\NDde.dll
  • %Program Files%\NewPlayer\references\NewPlayerChecker.exe
  • %Program Files%\NewPlayer\references\Newtonsoft.Json.dll
  • %Program Files%\NewPlayer\references\PhotoLoader.dll
  • %Program Files%\NewPlayer\references\Thumbs.db
  • %Program Files%\NewPlayer\references\extaudio.png
  • %Program Files%\NewPlayer\references\extvideo.png
  • %Program Files%\NewPlayer\references\ffmpeg.exe
  • %Program Files%\NewPlayer\references\folder.png
  • %Program Files%\NewPlayer\references\libreria.png
  • %Program Files%\NewPlayer\references\policy.2.0.taglib-sharp.config
  • %Program Files%\NewPlayer\references\policy.2.0.taglib-sharp.dll
  • %Program Files%\NewPlayer\references\taglib-sharp.dll
  • %Program Files%\NewPlayer\taglib-sharp.dll
  • %Program Files%\NewPlayer\uninstall.exe
  • %System Root%\Users\Administrator\Desktop\NewPlayer.lnk (Windows Vista and higher versions)

(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

アドウェアは、以下のフォルダを作成します。

  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\NewPlayer (Windows Vista and higher versions)
  • %All Users Profile%\Start Menu\Programs\NewPlayer (Versions lower than Windows Vista)
  • %AppDataLocal%\newplayer
  • %AppDataLocal%\newplayer\Playlists
  • %AppDataLocal%\newplayer\Snap
  • %AppDataLocal%\newplayer\config
  • %Program Files%\NewPlayer
  • %Program Files%\NewPlayer\AddOn
  • %Program Files%\NewPlayer\AddOn\ChromeAddon
  • %Program Files%\NewPlayer\Languages
  • %Program Files%\NewPlayer\Windows
  • %Program Files%\NewPlayer\flaelojgnhjgiilnmignlkamlcncclph
  • %Program Files%\NewPlayer\flaelojgnhjgiilnmignlkamlcncclph\1.0_0
  • %Program Files%\NewPlayer\references

(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

自動実行方法

アドウェアは、<User Startup>フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\NewPlayer\NewPlayer.lnk (Windows Vista and higher versions)
  • %All Users Profile%\Start Menu\Programs\NewPlayer\NewPlayer.lnk (Versions lower than Windows Vista)

(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

アドウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\NewVideoPlayerUpdaterService
DelayedAutostart = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService
Description = "NewVideoPlayer Updater Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService
DisplayName = "NewVideoPlayer Updater Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService
ImagePath = "%Program Files%\NewPlayer\NewVideoPlayerUpdaterService.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService
Type = "16"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService\Security
Security = "{hex value"}

アドウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NewVideoPlayerUpdaterService\Security

他のシステム変更

アドウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\.3gp
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.aac
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.aif
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.avi
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.divx
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.flv
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.mkv
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.mov
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.mp3
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.mp4
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.mpeg
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.mpg
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.wav
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.wma
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\.wmv
newp.backup = "{depends on user's media player}"

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
shell\Play\command
(Default) = ""%Program Files%\NewPlayer\NewVideoPlayer.exe" /m "%1""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.3gp = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.aac = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.aif = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.avi = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.divx = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.flv = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.mkv = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.mov = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.mp3 = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.mp4 = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.mpeg = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.mpg = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.wav = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.wma = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes
.wmv = ""

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe
FriendlyAppName = "NewPlayer"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.aac
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.aif
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.avi
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.divx
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.flv
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mkv
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mov
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.3gp
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mp3
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mp4
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mpeg
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mpg
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.wav
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.wma
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.wmv
newp.backup = "{depends on user's media player}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\shell\
Play\command
(Default) = ""%Program Files%\NewPlayer\NewVideoPlayer.exe" /m "%1""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.3gp = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.aac = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.aif = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.avi = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.divx = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.flv = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.mkv = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.mov = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.mp3 = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.mp4 = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.mpeg = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.mpg = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.wav = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.wma = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes
.wmv = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe
FriendlyAppName = "NewPlayer"

HKEY_LOCAL_MACHINE\SOFTWARE\NewPlayer\
NewPlayer
(Default) = "%Program Files%\NewPlayer\NewPlayer.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\NewPlayer\
NewPlayer
InstallDir = "%Program Files%\NewPlayer"

アドウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
shell

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
shell\Play

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
shell\Play\command

HKEY_CLASSES_ROOT\Applications\NewVideoPlayer.exe\
SupportedTypes

HKEY_CLASSES_ROOT\newp.3gp

HKEY_CLASSES_ROOT\newp.aac

HKEY_CLASSES_ROOT\newp.aif

HKEY_CLASSES_ROOT\newp.avi

HKEY_CLASSES_ROOT\newp.divx

HKEY_CLASSES_ROOT\newp.flv

HKEY_CLASSES_ROOT\newp.mkv

HKEY_CLASSES_ROOT\newp.mov

HKEY_CLASSES_ROOT\newp.mp3

HKEY_CLASSES_ROOT\newp.mp4

HKEY_CLASSES_ROOT\newp.mpeg

HKEY_CLASSES_ROOT\newp.mpg

HKEY_CLASSES_ROOT\newp.wav

HKEY_CLASSES_ROOT\newp.wma

HKEY_CLASSES_ROOT\newp.wmv

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\shell\
Play

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\shell\
Play\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\NewVideoPlayer.exe\SupportedTypes

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.3gp

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.aac

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.aif

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.avi

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.divx

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.flv

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.mkv

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.mov

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.mp3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.mp4

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.mpeg

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.mpg

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.wav

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.wma

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
newp.wmv

HKEY_LOCAL_MACHINE\SOFTWARE\NewPlayer

HKEY_LOCAL_MACHINE\SOFTWARE\NewPlayer\
NewPlayer

アドウェアは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\.3gp
(Default) = "newp.3gp"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.AAC
(Default) = "newp.aac"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.aif
(Default) = "newp.aif"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.divx
(Default) = "newp.divx"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.avi
(Default) = "newp.avi"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.flv
(Default) = "newp.flv"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.mkv
(Default) = "newp.mkv"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.mov
(Default) = "newp.mov"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.mp3
(Default) = "newp.mp3"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.mp4
(Default) = "newp.mp4"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.mpeg
(Default) = "newp.mpeg"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.mpg
(Default) = "newp.mpg"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.wav
(Default) = "newp.wav"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.wma
(Default) = "newp.wma"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_CLASSES_ROOT\.wmv
(Default) = "newp.wmv"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.3gp
(Default) = "newp.3gp"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.AAC
(Default) = "newp.aac"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.aif
(Default) = "newp.aif"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.avi
(Default) = "newp.avi"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.divx
(Default) = "newp.divx"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.flv
(Default) = "newp.flv"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mkv
(Default) = "newp.mkv"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mov
(Default) = "newp.mov"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mp3
(Default) = "newp.mp3"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mp4
(Default) = "newp.mp4"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mpeg
(Default) = "newp.mpeg"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mpg
(Default) = "newp.mpg"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.wav
(Default) = "newp.wav"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.wma
(Default) = "newp.wma"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.wmv
(Default) = "newp.wmv"

(註:変更前の上記レジストリ値は、「"{depends on user's media player}"」となります。)

感染活動

アドウェアは、ワーム活動の機能を備えていません。

バックドア活動

アドウェアは、バックドア活動の機能を備えていません。

その他

アドウェアは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
NewPlayer
DisplayIcon = "%Program Files%\NewPlayer\NewVideoPlayer.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
NewPlayer
DisplayName = "NewPlayer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
NewPlayer
DisplayVersion = "v2.1.2.6"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
NewPlayer
EstimatedSize = "31391"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
NewPlayer
Publisher = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
NewPlayer
UninstallString = "%Program Files%\NewPlayer\uninstall.exe"

アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。

アドウェアが作成する以下のファイルは、Windows Vistaおよびそれ以上のバージョンで作成されるファイルです。

  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\NewPlayer\Uninstall.lnk
  • %System Root%\Users\Administrator\Desktop\NewPlayer.lnk

アドウェアが作成する以下のファイルは、Windows Vista未満のバージョンで作成されるファイルです。

  • %All Users Profile%\Start Menu\Programs\NewPlayer\Uninstall.lnk

アドウェアが作成する以下のファイルは、「ADW_PLAYNEW」として検出されるファイルです。

  • %Program Files%\NewPlayer\NewVideoPlayer.exe

アドウェアは、以下のURLにアクセスし、プログラムの更新を確認します。

  • http://{BLOCKED}rr.{BLOCKED}eoplayer.com/sdb/be/NewPlayerUpdate.xml?{hash}

アドウェアは、ソフトウェアの統計および広告の目的のため、以下のURLにアクセスします。

  • http://{BLOCKED}e.{BLOCKED}t.com/ltv/activity/?idapp={application ID}&action={action}&mac={mac}
  • http://ltv-pre.tguhost.com/ltv/install/?idapp={application ID}&action={action}&mac={mac}&country={language}
  • http://www.{BLOCKED}eoplayer.com/analytics.html?UID={UID}&MAC={mac}&installationid={installation ID}&action={action}&aversion={version}

アドウェアは、以下のURLにアクセスしホストのIPや位置を取得します。

  • http://checkip.amazonaws.com
  • http://www.iptolatlng.com/?ip={IP address retrieved from http://checkip.amazonaws.com}

アドウェアは、自身のGUIに広告を含みます。以下のURLは広告のリンクの一例です。

  • http://{BLOCKED}.{BLOCKED}ter.com/offer?prod={product number}&ref={reference ID}&pid={spid}

アドウェアは、アンインストール後、以下のURLへアクセスします。

  • http://www.{BLOCKED}eoplayer.com/farewellpage

アドウェアは、ルートキット機能を備えていません。

アドウェアは、脆弱性を利用した感染活動を行いません。

  対応方法

対応検索エンジン: 9.700
SSAPI パターンバージョン: 1.557.00
SSAPI パターンリリース日: 2014年10月16日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

自身のアンインストールオプションを使用し、「ADW_PLAYNEW」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 4

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「ADW_PLAYNEW」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください