PUA_DESKTOPWEATHER.GA
a variant of Win32/Toptools.G potentially unwanted (ESET-NOD32)
Windows
- マルウェアタイプ: 不要なアプリケーション
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
プログラムは、以下のファイルを作成します。
- %Program Files%\WeatherTool\2.0.1.11332\res\BR\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\BR\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\CN\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\CN\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\DE\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\DE\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\EN\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\EN\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\FR\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\FR\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\JP\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\JP\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\JP\skin3.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\TH\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\TH\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\BR\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\BR\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\CN\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\CN\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\DE\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\DE\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\EN\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\EN\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\FR\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\FR\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\JP\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\JP\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\JP\skin3.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\TH\skin.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\XP\TH\skin2.xml
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\Humidity.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\Icon24_layout.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\Icon48_layout.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\Refresh.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\bg_main.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\bg_menu.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\bg_search.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\bg_user_guide.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\btn_cancel.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\btn_delete.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\btn_menu.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\btn_radio.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\clear.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\cloudy.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\cloudy_fg.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\fog.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_add.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_fail.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_info_grey.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_location_gray.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_precipitation.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_success.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_thermo.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\icn_units.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_degree.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_dot_normal.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_dot_selected.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_minus.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_0.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_1.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_2.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_3.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_4.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_5.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_6.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_7.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_8.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\img_num_9.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\overcast.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\rain.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\scrollbar.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\sequence.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\snow.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\sunny.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\tstorm.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\windy.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\bg.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\btn.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\button.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\buttondown.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\checkbox.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\click.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\close.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\hover.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\normal.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\page1.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\page2.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\page3.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\page4.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\progress_back.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\progress_fore.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\uninstall.png
- %Program Files%\WeatherTool\2.0.1.11332\res\picture\uninstall\uninstalldown.png
- %Program Files%\WeatherTool\2.0.1.11332\WeatherEntryDll.dll
- %Program Files%\WeatherTool\2.0.1.11332\weather.exe
- %Program Files%\WeatherTool\2.0.1.11332\InstallHelper.exe
- %Program Files%\WeatherTool\2.0.1.11332\CrashReport.exe
- %Program Files%\WeatherTool\2.0.1.11332\CrashUL.exe
- %Program Files%\WeatherTool\2.0.1.11332\CrashReportModuleConf.ini
- %Program Files%\WeatherTool\2.0.1.11332\UpdatePlatformJP.exe
- %Program Files%\WeatherTool\2.0.1.11332\Report.exe
- %Program Files%\WeatherTool\2.0.1.11332\WeatherService.exe
- %Application Data%\WeatherTool\dump\BugReportConfig.ini
- %Program Files%\Baidu\update\UpdatePlatform.exe
- %Program Files%\Baidu\update\CrashReport.exe
- %Program Files%\Baidu\update\CrashReport64.exe
- %Program Files%\Baidu\update\CrashUL.exe
- %Program Files%\Baidu\update\CrashReportModuleConf.ini
- %Program Files%\Baidu\update\CrashReportConfig.ini
- %Program Files%\Baidu\update\baidujp_update.exe
- %ProgramData%\baidu\update\download\baidujp_update.xml
- %ProgramData%\baidu\update\baidujp_update.ini
- %Windows%\Tasks\BaiduJP_Update_{8099779F-A13B-403e-B39A-65133857586B}.job
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
他のシステム変更
プログラムは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool\
QUIT
QuitSession = "{A35B1D48-2D7A-4F22-808E-FBAB9C207DEA}-1"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool\
Settings
ProductType = "DeskTop"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool\
Settings
ReloadDataInterval = "3600"
HKEY_LOCAL_MACHINE\SOFTWARE\DtsEncodeTools
{3B7FD029-D932-411b-AF15-C96CF8EF0C18} = "{3B7FD029-D932-411b-AF15-C96CF8EF0C18}"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool\
DUMPSETTING
SendVal = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\baidu\
update
soft_weather = "http://box.kantanstart.jp/cgi-bin-py/weather_statistic.cgi"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool
parentName = "{Parent Process Name}"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool
PartnerID = "InstallCore02"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool
Version = "2.0.1.11332"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool
UserID = "c9c90eefa4649d97f59b2ba1b37e6d1e"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool\
INSTALL_MARK
version = "2.0.1.11332"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool\
2.0.1.11332
INSTALL_PATH = "%Program Files%\WeatherTool\2.0.1.11332"
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool
INSTALL_FIRST_TIME = "{Date}_{Time}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
WeatherTool
DisplayName = "The Desktop Weather 2.0.1.11332"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
WeatherTool
DisplayIcon = "%Program Files%\WeatherTool\2.0.1.11332\weather.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
WeatherTool
UninstallString = "%Program Files%\WeatherTool\2.0.1.11332\InstallHelper.exe -Uninstall English"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
WeatherTool
DisplayVersion = "2.0.1.11332"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
WeatherTool
DisplayFullVersion = "2.0.1.11332"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
WeatherTool
Publisher = "Baidu Japan Inc."
HKEY_LOCAL_MACHINE\SOFTWARE\WeatherTool
FrID = "GlcA91gpScVu5jAne2Qd"
HKEY_LOCAL_MACHINE\SOFTWARE\baidu\
update
partner = "weather"
HKEY_LOCAL_MACHINE\SOFTWARE\baidu\
update
FrID = GlcA91gpScVu5jAne2Qd,JFwS91EgV6owog==
HKEY_LOCAL_MACHINE\SOFTWARE\baidu\
update
Version = "4.0.0.0"
HKEY_LOCAL_MACHINE\SOFTWARE\baidu\
update
GUID = "{c9c90eefa4649d97f59b2ba1b37e6d1e}"
その他
プログラムは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}heery.net/cgi-bin-py/weather_install.cgi
- http://download.{BLOCKED}heery.net/download/weather_bd.encrypt
- http://www.{BLOCKED}heery.net/download/WeatherTool_Setup_Jp_NoModiyTime_base%5B2016-04-26.18.51.05.07%5D.exe
- http://www.{BLOCKED}oftware365.info/cgi-bin-py/weather_install.cgi
- http://weather.{BLOCKED}oftware365.net/weather?key=autoip&lang=EN
- http://ime.{BLOCKED}u.jp/type/img/pvi.gif?t=3&len=704&data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
- http://{BLOCKED}ssplatform.ime.{BLOCKED}u.jp/pc_ime/getmsg?is_ime_exist=0&csp=2&dfb=0&fsp=2&hao123=2022&id={c9c90eefa4649d97f59b2ba1b37e6d1e}&isp=0&isp2=2&no_up_date=1&os=6.1.7601&partner=weather&seconds=1225&user_type=1&ver=4.0.0.0&wait_start_seconds=598
- http://ime.{BLOCKED}u.jp/type/img/pvi.gif?t=3&len=736&data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
- http://www.{BLOCKED}oftware365.info/cgi-bin-py/weather_uu.cgi
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「PUA_DESKTOPWEATHER.GA」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE
- WeatherTool
- WeatherTool
- In HKEY_LOCAL_MACHINE\SOFTWARE
- DtsEncodeTools
- DtsEncodeTools
- In HKEY_LOCAL_MACHINE\SOFTWARE
- baidu
- baidu
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- WeatherTool
- WeatherTool
手順 5
以下のフォルダを検索し削除します。
- %Program Files%\WeatherTool
- %Application Data%\WeatherTool
- %Program Files%\Baidu
- %ProgramData%\baidu
手順 6
以下のファイルを検索し削除します。
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA_DESKTOPWEATHER.GA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください