Trend Micro Security

PUA.Win32.PCCleaner.AT

2019年11月8日
 解析者: Jay Garcia   
 別名:

OneSafePcCleaner. (McAfee); Hoax.Win32.SafeCleaner.h (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 潜在的に迷惑なアプリケーション
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 7,420,832 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年11月6日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のフォルダを作成します。

  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\OneSafe PC Cleaner
  • %Program Files%\OneSafe PC Cleaner
  • %Application Data%\OneSafe PC Cleaner\Backup
  • %Application Data%\OneSafe PC Cleaner
  • %All Users Profile%\OneSafe PC Cleaner
  • %Application Data%\OneSafe PC Cleaner\Undo
  • %Application Data%\OneSafe PC Cleaner\Log

(註:%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

他のシステム変更

プログラムは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
InstallerName = "{malware path and file name}.exe"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
PrivacyURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
EulaURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
AdsAntivirusLink = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
AdsAntivirusName = "Adaware"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
AdsDownloadURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
UseAds = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
BuyNowURL50 = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
BuyNowURL20 = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
PromoOffers = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
HideAfterInstallURL = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
Phones = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ComplementURL = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
BuyNowURLCs = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
UninstallURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
AfterInstallURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
SupportURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
RenewURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ProURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
BuyNowURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
HomePageURL = "{random characters}"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
PartnerID = "ONESAFE"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
UpgradeID = "ML_OSPCC_63"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
BuildID = "OneSafe_PC_Cleaner_ML"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
CreationDate = "21/10/2019"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
Cv = "Sep2019"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
Language = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Inno Setup: Setup Version = "6.0.2 (u)"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Inno Setup: App Path = "%Program Files%\OneSafe PC Cleaner"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
InstallLocation = "%Program Files%\OneSafe PC Cleaner"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Inno Setup: Icon Group = "OneSafe PC Cleaner"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Inno Setup: User = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Inno Setup: Selected Tasks = "desktopicon"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Inno Setup: Deselected Tasks = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Inno Setup: Language = "en"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
DisplayName = "OneSafe PC Cleaner v6.9.10.57 (32-bit)"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
DisplayIcon = "%Program Files%\OneSafe PC Cleaner\OneSafePCCleaner.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
UninstallString = "%Program Files%\OneSafe PC Cleaner\unins000.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
QuietUninstallString = "%Program Files%\OneSafe PC Cleaner\unins000.exe /SILENT"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
DisplayVersion = "6.9.10.57"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
Publisher = "Avanquest Software"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
NoModify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
NoRepair = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
InstallDate = "20191106"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
MajorVersion = "6"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
MinorVersion = "9"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
VersionMajor = "6"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
VersionMinor = "9"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
OneSafe PC Cleaner_is1
EstimatedSize = "17999"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
OnWinStartup = "0"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
s_SmartEnabled = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
s_SmartMode = "0"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
s_SmartDate = "\xedo\x00\xc6_\xe5@"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
MonitorNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
LastMonitorNotification = "\xedo\x00\xe6_\xe5@"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
NewAppNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
NewExtNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
StartupNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
CrashNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
NoAVNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
LowDiskSpaceNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
LowFreeMemNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
BigCacheSizeNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
UninstallNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
MinFreeDiskSpace = "10"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
MinFreeMemory = "10"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
MinCacheSize = "500"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
CheckUpdates = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
LastUpdCheck = "\xedo\x00\xe6_\xe5@"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
SoftwareNotifications = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
LastSrvNotification = "\xedo\x00\xc6_\xe5@"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
LastSrvCheck = "\xedo\x00\xe6_\xe5@"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
BackupDir = "%Application Data%\OneSafe PC Cleaner\Backup"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
DisplayName = "OneSafe PC Cleaner"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
Version = "6.9.10"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
InstallationDate = "q\xec\x01\xe6_\xe5@"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
TrayAllowed = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
NLaunches = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
LogDir = "%Application Data%\OneSafe PC Cleaner\Log"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
UndoDir = "%Application Data%\OneSafe PC Cleaner\Undo"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ItemsToRegistryScan = "1111111111"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ItemsToPrivacyScan = "1111"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ItemsToRecoveryScan = "1111"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
UseExclusions = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ShowRebootMessage = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ShowRecycleBin = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
FormSP = "1"

HKEY_CURRENT_USER\Software\OneSafe PC Cleaner
ShowTips = "1"

作成活動

プログラムは、以下のファイルを作成します。

  • %Program Files%\OneSafe PC Cleaner\Portuguese.ini
  • %Program Files%\OneSafe PC Cleaner\Cookies.txt
  • %Program Files%\OneSafe PC Cleaner\German.ini
  • %Program Files%\OneSafe PC Cleaner\SList.txt
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\OneSafe PC Cleaner\OneSafe PC Cleaner.lnk
  • %Program Files%\OneSafe PC Cleaner\English.ini
  • %Program Files%\OneSafe PC Cleaner\Finnish.ini
  • %Program Files%\OneSafe PC Cleaner\Services2.txt
  • %Program Files%\OneSafe PC Cleaner\Polish.ini
  • %Program Files%\OneSafe PC Cleaner\Services1.txt
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\OneSafe PC Cleaner\OneSafe PC Cleaner on the Web.lnk
  • %Desktop%\OneSafe PC Cleaner.lnk
  • %Program Files%\OneSafe PC Cleaner\Japanese.ini
  • %Program Files%\OneSafe PC Cleaner\Italian.ini
  • %Program Files%\OneSafe PC Cleaner\Dutch.ini
  • %All Users Profile%\OneSafe PC Cleaner\Cookies.txt
  • %Program Files%\OneSafe PC Cleaner\Swedish.ini
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\OneSafe PC Cleaner\Help.lnk
  • %Program Files%\OneSafe PC Cleaner\sqlite3.dll
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\OneSafe PC Cleaner\Uninstall OneSafe PC Cleaner.lnk
  • %Program Files%\OneSafe PC Cleaner\Animation.gif
  • %Program Files%\OneSafe PC Cleaner\SchedTasks.txt
  • %Program Files%\OneSafe PC Cleaner\unins000.dat
  • %Program Files%\OneSafe PC Cleaner\OSPCNotifications.exe
  • %Program Files%\OneSafe PC Cleaner\SList.db
  • %Program Files%\OneSafe PC Cleaner\unins000.exe
  • %Program Files%\OneSafe PC Cleaner\Danish.ini
  • %Program Files%\OneSafe PC Cleaner\Brazilian.ini
  • %System%\Tasks\OneSafe PC Cleaner automatic scan and notifications
  • %Program Files%\OneSafe PC Cleaner\Turkish.ini
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\OneSafe PC Cleaner\Check updates.lnk
  • %Program Files%\OneSafe PC Cleaner\French.ini
  • %Program Files%\OneSafe PC Cleaner\OneSafePCCleaner.exe
  • %Program Files%\OneSafe PC Cleaner\Russian.ini
  • %Program Files%\OneSafe PC Cleaner\Spanish.ini
  • %Program Files%\OneSafe PC Cleaner\Norwegian.ini
  • %Program Files%\OneSafe PC Cleaner\OneSafePCCleaner.chm

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

その他

プログラムは、以下の不正なWebサイトにアクセスします。

  • http://s.{BLOCKED}d.com/{random path}
  • http://sw.{BLOCKED}d.com/{random path}
  • http://stats.{BLOCKED}ctools.com/si?{random characters}
  • http://dev.{BLOCKED}pport.smartpcupdate.com/build/ONESAFE/OneSafe_PC_Cleaner_ML
  • http://crl.{BLOCKED}sign.com/gs/gsorganizationvalsha2g2.crl
  • http://webtools.{BLOCKED}est.com
  • http://webtools.{BLOCKED}esoftware.com

  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 2.233.00
SSAPI パターンリリース日: 2019年11月7日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

自身のアンインストールオプションを使用し、「PUA.Win32.PCCleaner.AT」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.Win32.PCCleaner.AT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください