Adware.Win32.Mindspark.CRZ
JS/Mindspark.G potentially unwanted application (NOD32); HEUR:AdWare.Script.SearchExt.gen (Kaspersky)
Windows
- マルウェアタイプ: アドウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
アドウェアは、以下のファイルを作成します。
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\000003.log
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\CURRENT
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOCK
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOG
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\MANIFEST-000001
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\{locale_id}\messages.json
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\computed_hashes.json
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\verified_contents.json
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\verified_contents.json
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\config\config.json
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\icons\icon16.png
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon19disabled.png
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon19on.png
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon48.png
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon128.png
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\ajax.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babAPI.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babClickHandler.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babContentScript.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babContentScriptAPI.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\background.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\browserUtils.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\chrome.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\contentScriptConnectionManager.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\dateTimeUtils.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\dlp.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\dlpHelper.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\extensionDetect.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\index.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\localStorageContentScript.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\logger.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\meta.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\offerService.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\pageUtils.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\PartnerId.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\polyfill.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\product.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\remoteConfigLoader.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\splashPageRedirectHandler.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\storageUtils.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\TemplateParser.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\ul.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\urlFragmentActions.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\urlUtils.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\util.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\webtooltabAPI.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\webTooltabAPIProxy.js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\manifest.json
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\ntp1.html
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
アドウェアは、以下のフォルダを作成します。
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\config
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\ar
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\de
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\en
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\es
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\es_419
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\fr
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\it
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\ja
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\ko
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\nl
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\pt_BR
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\pt_PT
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
その他
アドウェアは、以下の不正なWebサイトにアクセスします。
- https://easypdfcombine.dl.{BLOCKED}y.com/blank.jhtml
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/index.html?p2=%5EBSB%5Echr999%5ETTAB03%5E&n=78673895&ptb=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&si=&cwsid=mmajffilgegaippfphhmkmnbfmcgeopd&assist=1&st=tab
- https://live.tb.{BLOCKED}k.com/tr.gif?anxa=CAPNative&anxv={BLOCKED}.{BLOCKED}.16.52171&anxe=ToolbarActive&anxt=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&anxtv={BLOCKED}.anxtv={BLOCKED}.16.52171&anxp=%5EBSB%5Echr999%5ETTAB03%5E&anxsi&anxd=2019-11-13T20%3A35%3A37.212Z&f=00400000&anxr=1583470892286&coid=BSB&userSegment&cwsid=mmajffilgegaippfphhmkmnbfmcgeopd
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/wtt.appcache
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/app.js
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/async-iac_canvas_animation_ui.js
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/icomoon.woff2
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/weather-icon.woff2
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/async-iac_keep_settings_assist.assist_ui.js
- https://weatherblink.{BLOCKED}rv.com/weather/lookup?uuid=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8
- https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/index.html
- https://weatherblink.{BLOCKED}rv.com/weather/lookup?uuid=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&placeId=6f4e656e2cea645d65e4cace8cbb46e1c7a27f9a7dc55745a666f7beb1798b17&address=null%2C%20Makati
- https://anx.tb.{BLOCKED}k.com/anx.gif?anxuu=F803264C-4930-4ADA-8021-DDCB4AAAFD7C&anxa=WebTooltab&anxv=webtooltab-2.1.1&anxd=-&anxsn=&anxu=https%3A%2F%2Fhp.myway.com%2Feasypdfcombine%2Fttab02chr%2Findex.html&anxl=en&anxlv=1583470887833&anxrd=none&anxrp=-&anxrk=-&anxrm=-&anxrb=-&anxrc=-&anxrs=-&anxsq=2&anxt=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&anxp=%5EBSB%5Echr999%5ETTAB03%5E&anxsi=&buid=1fd8bbec-87bb-475c-83e2-1251c7f84578&pageType=tab&name=Wallpapers&productData=%7B%22item%22%3A%22White%22%2C%22url%22%3A%22data%3Aimage%2Fpng%3Bbase64%2CiVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8%2Fx8AAwMCAO%2Bip1sAAAAASUVORK5CYII%3D%22%2C%22category%22%3A%22Featured%22%2C%22dailyBackgroundEnabled%22%3Afalse%2C%22wallpaperOnBoarding%22%3Anull%2C%22pageLoad%22%3A1%7D&anxe=Info&anxr=920439533
- https://anx.tb.{BLOCKED}k.com/anx.gif?anxuu=F803264C-4930-4ADA-8021-DDCB4AAAFD7C&anxa=CAPSearch&anxv=webtooltab-2.1.1&anxd=-&anxsn=&anxu=https%3A%2F%2Fhp.myway.com%2Feasypdfcombine%2Fttab02chr%2Findex.html&anxl=en&anxlv=1583470909570&anxrd=none&anxrp=-&anxrk=-&anxrm=-&anxrb=-&anxrc=-&anxrs=-&anxsq=6&anxt=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&anxp=%5EBSB%5Echr999%5ETTAB03%5E&anxsi=&buid=1fd8bbec-87bb-475c-83e2-1251c7f84578&pageType=tab&productData=%7B%22pageLoad%22%3A1%7D&anxe=TabPageView&anxr=933921294
対応方法
手順 1
Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
以下のファイルを検索し削除します。
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\000003.log
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\CURRENT
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOCK
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOG
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\MANIFEST-000001
手順 4
以下のフォルダを検索し削除します。
- %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}
- %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Adware.Win32.Mindspark.CRZ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください