Trend Micro Security

Adware.Win32.Mindspark.CRZ

2020年3月11日
 解析者: Paul Steven Nadera   

 別名:

JS/Mindspark.G potentially unwanted application (NOD32); HEUR:AdWare.Script.SearchExt.gen (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 73,097 bytes
タイプ Other
発見日 2020年2月4日

侵入方法

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

アドウェアは、以下のファイルを作成します。

  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\000003.log
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\CURRENT
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOCK
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOG
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\MANIFEST-000001
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\{locale_id}\messages.json
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\computed_hashes.json
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\verified_contents.json
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\verified_contents.json
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\config\config.json
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata\icons\icon16.png
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon19disabled.png
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon19on.png
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon48.png
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons\icon128.png
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\ajax.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babAPI.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babClickHandler.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babContentScript.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\babContentScriptAPI.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\background.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\browserUtils.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\chrome.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\contentScriptConnectionManager.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\dateTimeUtils.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\dlp.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\dlpHelper.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\extensionDetect.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\index.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\localStorageContentScript.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\logger.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\meta.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\offerService.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\pageUtils.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\PartnerId.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\polyfill.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\product.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\remoteConfigLoader.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\splashPageRedirectHandler.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\storageUtils.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\TemplateParser.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\ul.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\urlFragmentActions.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\urlUtils.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\util.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\webtooltabAPI.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js\webTooltabAPIProxy.js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\manifest.json
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\ntp1.html

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

アドウェアは、以下のフォルダを作成します。

  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_metadata
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\config
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\icons
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\js
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\ar
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\de
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\en
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\es
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\es_419
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\fr
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\it
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\ja
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\ko
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\nl
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\pt_BR
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}\13.917.16.52171_0\_locales\pt_PT

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

その他

アドウェアは、以下の不正なWebサイトにアクセスします。

  • https://easypdfcombine.dl.{BLOCKED}y.com/blank.jhtml
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/index.html?p2=%5EBSB%5Echr999%5ETTAB03%5E&n=78673895&ptb=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&si=&cwsid=mmajffilgegaippfphhmkmnbfmcgeopd&assist=1&st=tab
  • https://live.tb.{BLOCKED}k.com/tr.gif?anxa=CAPNative&anxv={BLOCKED}.{BLOCKED}.16.52171&anxe=ToolbarActive&anxt=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&anxtv={BLOCKED}.anxtv={BLOCKED}.16.52171&anxp=%5EBSB%5Echr999%5ETTAB03%5E&anxsi&anxd=2019-11-13T20%3A35%3A37.212Z&f=00400000&anxr=1583470892286&coid=BSB&userSegment&cwsid=mmajffilgegaippfphhmkmnbfmcgeopd
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/wtt.appcache
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/app.js
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/async-iac_canvas_animation_ui.js
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/icomoon.woff2
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/weather-icon.woff2
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/assets/1583163623097/async-iac_keep_settings_assist.assist_ui.js
  • https://weatherblink.{BLOCKED}rv.com/weather/lookup?uuid=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8
  • https://hp.{BLOCKED}y.com/easypdfcombine/ttab02chr/index.html
  • https://weatherblink.{BLOCKED}rv.com/weather/lookup?uuid=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&placeId=6f4e656e2cea645d65e4cace8cbb46e1c7a27f9a7dc55745a666f7beb1798b17&address=null%2C%20Makati
  • https://anx.tb.{BLOCKED}k.com/anx.gif?anxuu=F803264C-4930-4ADA-8021-DDCB4AAAFD7C&anxa=WebTooltab&anxv=webtooltab-2.1.1&anxd=-&anxsn=&anxu=https%3A%2F%2Fhp.myway.com%2Feasypdfcombine%2Fttab02chr%2Findex.html&anxl=en&anxlv=1583470887833&anxrd=none&anxrp=-&anxrk=-&anxrm=-&anxrb=-&anxrc=-&anxrs=-&anxsq=2&anxt=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&anxp=%5EBSB%5Echr999%5ETTAB03%5E&anxsi=&buid=1fd8bbec-87bb-475c-83e2-1251c7f84578&pageType=tab&name=Wallpapers&productData=%7B%22item%22%3A%22White%22%2C%22url%22%3A%22data%3Aimage%2Fpng%3Bbase64%2CiVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8%2Fx8AAwMCAO%2Bip1sAAAAASUVORK5CYII%3D%22%2C%22category%22%3A%22Featured%22%2C%22dailyBackgroundEnabled%22%3Afalse%2C%22wallpaperOnBoarding%22%3Anull%2C%22pageLoad%22%3A1%7D&anxe=Info&anxr=920439533
  • https://anx.tb.{BLOCKED}k.com/anx.gif?anxuu=F803264C-4930-4ADA-8021-DDCB4AAAFD7C&anxa=CAPSearch&anxv=webtooltab-2.1.1&anxd=-&anxsn=&anxu=https%3A%2F%2Fhp.myway.com%2Feasypdfcombine%2Fttab02chr%2Findex.html&anxl=en&anxlv=1583470909570&anxrd=none&anxrp=-&anxrk=-&anxrm=-&anxrb=-&anxrc=-&anxrs=-&anxsq=6&anxt=D2FECBC7-3402-4258-BDC7-D7B64B11E9B8&anxp=%5EBSB%5Echr999%5ETTAB03%5E&anxsi=&buid=1fd8bbec-87bb-475c-83e2-1251c7f84578&pageType=tab&productData=%7B%22pageLoad%22%3A1%7D&anxe=TabPageView&anxr=933921294


  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 2.267.00
SSAPI パターンリリース日: 2020年3月12日

手順 1

Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\000003.log
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\CURRENT
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOCK
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\LOG
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}\MANIFEST-000001

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\{Extension ID}
  • %AppDataLocal%\Google\Chrome\User Data\Default\Local Extension Settings\{Extension ID}

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Adware.Win32.Mindspark.CRZ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください