Trend Micro Security

PUA_ONESYSTEMCARE.GA

2018年2月5日
 解析者: Camille Reyes   

 別名:

HEUR:RiskTool.Win32.SystemCare.gen (Kaspersky); PUP.Optional.OneSystemCare (Malwarebytes);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 潜在的に迷惑なアプリケーション
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  詳細

ファイルサイズ 5,769,888 bytes
タイプ EXE
メモリ常駐 なし
発見日 2016年12月1日

自動実行方法

この「スケジュールされたタスク」により、以下の時間ごとにプログラムが実行されます。

  • One System CarePeriod
  • One System Care Monitor
  • One System Care Run Delay
  • One System Care Task

作成活動

プログラムは、以下のファイルを作成します。

  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\One System Care\One System Care on the Web.url
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\One System Care\Launch One System Care.lnk
  • %All Users Profile%\d1051927-4923-1\BIT3715.tmp
  • %All Users Profile%\d1051927-4923-1\d1051927-4923-1.d
  • %All Users Profile%\d1051927-4d51-0\BIT3FE3.tmp
  • %All Users Profile%\d1051927-4d51-0\d1051927-4d51-0.d
  • %Application Data%\One System Care\Languages\English.xml
  • %Application Data%\One System Care\Languages\Swedish.xml
  • %Application Data%\One System Care\Languages\French.xml
  • %Application Data%\One System Care\Languages\German.xml
  • %Application Data%\One System Care\Languages\Danish.xml
  • %Application Data%\One System Care\Languages\Italian.xml
  • %Application Data%\One System Care\Languages\Dutch.xml
  • %Application Data%\One System Care\Languages\Norwegian.xml
  • %Application Data%\One System Care\Languages\Spanish.xml
  • %Application Data%\One System Care\Languages\Portuguese.xml
  • %Application Data%\One System Care\Languages\Parameters.xml
  • %Program Files%\OneSystemCare\CleanupConsole.exe
  • %Program Files%\OneSystemCare\OSCShellExtension.dll
  • %Program Files%\OneSystemCare\SystemConsole.exe
  • %Program Files%\OneSystemCare\SystemCash.exe
  • %Program Files%\OneSystemCare\uninstall.bmp
  • %Program Files%\OneSystemCare\cancel.bmp
  • %Program Files%\OneSystemCare\icon.ico
  • %Program Files%\OneSystemCare\Uninstaller.exe
  • %Program Files%\OneSystemCare\OneSystemCare.exe
  • %Program Files%\OneSystemCare\OneSystemCare.ini
  • %System Root%\Users\Public\Desktop\Launch One System Care.lnk
  • %Windows%\Tasks\One System CarePeriod.job

(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

その他

プログラムは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}stemcare.info/inst?sid=83195246-F39B-4EA2-ADF5-EC3521958BFD&hid=ba77811f427d63a74658c42ee94c46d95749d2d8&os=6.1&tr=331002584-US-244&a=NA&adm=1&x64=0&sil=0&st=201602051&e=200
  • http://{BLOCKED}stemcare.info/inst?sid=83195246-F39B-4EA2-ADF5-EC3521958BFD&st=0&e=210
  • http://{BLOCKED}ro.org/u/
  • http://{BLOCKED}t.info/u/?a=5PiF369VB8n8jRCh__bSg1ZvTPS348FxIOhsujXuDgbdJncbmjYsgrnpm6aseBWRDO3FEIMmnDbB8Id0AW0_EppB6whHRKliARWIQ-C_UbvtOVV_mibtMXhrluC5-As2CpJrccO4ZJhHYhcWA-sEefTlrlqQfdSi6pb766bIEcYifw99Q0Lek8ywRlsH--X3xPeSrs3Lrt_AKOp7pFGmqxGXk73RuHmaS9pOmeIUxDF7AmGd9d8QspUi8ZqvG-Ktz9v-iyhm2aEfTRo6Iu59vPE6FE0LSbt1NAgsaY8nBLbOgZFkPQ2VppBIilhAAw-Cq_4G6K0ikNAAzjLt3ok-i6QZcfsJQVUNlbxNw7DYImSZ_EYmd5XDR8NsA09Ge21pci_xkBe-uWfwFhewhD3pmcALT9nVIvI9Ox8gpkVSdWauKZ0uNChVTFZwedoOERMxbRPzl0h3nkHG2jJx99XS0dbDyhfHLSRWQJKHNsB2KKTqlR6tYKbgpSkVVK0y4vi7C9WAbHUYV9SneslWxOY9FuYooBuw2AByrjsSpJa5A0SxorJ9_JKJfgc6Uz2T9lVZwQ8BYh7xkUBPL3S-BmD2KNlnJJV_aa_ykWtOawgurT2V4qSCbyNZBthgoRbcX4Bc0mBNRkT9X3bTi2vOya-vluV6rTc5A8CqLueRtnNdiBopmzcTM0eUCkwA0Ykh3d_MfV76DJmuIqFtugYUTe4F2NjlpgQSzAIUUAnWm-Wawbs_Mz4tXXH33q06bw-CSeRFNgXa5BICgPvhGvh23smsSy0V3FGvnXrMqxdewj4foB4URwLvEP37UOSx5_hUc60UPMtQKeekkVM8QSRwt8gg1GHEPaGHjsL-HCmGJY8ewazeummZ4XP6E971ICoDtgASVWK33jSc96BneP-ET3aXtuCrOBdqqaiZOakka5C7EDXmgZW_4iCn6P65C_MrAGkBcwyiA44JCDc_rQPQtvsGmMTLBG7X&c=yMxcnRW4uoXhPnTP-JQZ9hNzATphBTFwycJCa2za5bvsgd47GglJmY81GTpgCRWoOKNJmGjV67R6OZVXrMarQWpfae3i1fKyX9fVx8yVw4hSroYXM9ycQQwFIVfzCM-3wDYX7NTd-wHtr271IkOlv7__4OuV-gl_OMk1zIwu6Xopn5AF5uDTP6NekbCXph2VHjgzO-dyVtZxTQg2ImnW9xrp8CrJz3PscvC8QTCMhyMR6iPd2TSDPXnMrY1gSKz1S2nHzIgwWgB2aBn5Weq5pvRq6Vk9ctiLy2ZC6FXRd4JFuv2DKYAJsd815kSBp6A4gAB-ggbmMbnsmyLYcATRGwLFdLzrsKJlh4Ds_p3RXBUKW9EA30kSQoy-j5wqRhk2QkPgQPrCRTGhIivKhCw8_jYiPjJR7em1o58dvOmHI3Vhocv4jMYMmTbzLG2eCdOdIsVYsOqoxXtxBCgTHybsH1EA7iIkafnUrRVkqreA2TD7xbagwTxzG2CcgURwKXrskP7pH1s1IafMxzM9znw7BRuSbGfvn1omEk_HKDZ2ELnKJUAvKrNJE3H7HwjKMcR7AiK5yXoQdsIt-53_OVUV5TPB_jmUPOtd3N1Q1f_H3mu9L5c5aEm_ty0pE_x8sAjSx8pPsr7XVDlyYsqfj6kDv1xQtIXP9n3NvaHwhbYqyH--iJEZkkADR1sfiCY3qqq7oQ0-PTy4X-24iX-zByG5h0YdBWBk0BEfBFkYWv3-2Gk_vZoQDi0VwWu-YUEDcEjmO4z9dxvfeIrM_V15xoof9rPjQOifOoGiq3XFBMm34xq2h7XQBMyG-pAuaDDHr88KwuTk0qVZX7be-0uT7cyiBp46Sw-8xBDuqT25WoPuqkFHxRObGL_zYz8HuQ7kRGCDb2drl11rXsNK5UsJUFv3swWT0k__IKmXqkr04TBJLN3Qw0-WG1MO8d&r=6277322303372387739
  • http://{BLOCKED}ob.net/u/?a=FjSwKVv6dHsiX9Cu__cP-WEiqRxak521xmHXwBf9S24m0MR59KMFx5v844tczW5zv2BDrvBop4k-zlUvIowd2yY-wkX7TPOnUWfG_ixQyi1RROSmJEQgd1Fz1N19_krNS0E-Q8duCDFOa0kefkd2JI8hGUJuo3Mqtv6zDT9Yjsd5NT-WhvwkmumHZosY7C7q2UeJbhoUzgpVbTl8BB9K9Tg2oZYqkVmhTgUj1CQbbsFdJIhYQ-7cNFs1Ama0wh-oJYNX0PUTTK5F1Q8qOVQfBg19L0ahnu9SAzrS5jEKBPkL21K3iPd1CB3ARAu57LhBNrmRzlLDs8HRKXkm-QBl7GKc_C9qO6A2Z6mViW31MMBp55G5UuVR4IKAw12OdnZCjS25KvmRhLd0vykogHzeXyr3KGta8I1kq4_4OWQgn1rU6ul5DiihXIDmpHLRQAoUdOcik6Omw_5eAXZLNBJwLgLtNIF39jDYlE7cn4v3-0bteqlWCsvH_yw02uipjio1TozHTXEJTD0xSwuPufgy4KVVOddzBttxniv9FHuzqW0fVBWiU7dDSbFm_cPC6iYwoJQ-RTlOaN_xppHrHww7xu4gS62Cy89jsnaZAGJdIRiUHRvTap3i85Iozrw9JaYIxd3bgzSjoE-i-ld1-MXI9HZzXczf0QP6lOgqsvrVQKLhcIF639-iR-XdTi5DWeXN9r9rsVssxj2SOdIM2Py_NZqfW5_lFJ9S8UOr-1xnI4Xkpe_E39oocy1dmJkJ1igjC9-xbJvXPiYTse5xIs31YSzfZZmu6opkqRLO_zSb5jep51JjAfLupIjyH9_1ATHi0u6zXO2JxIM4269A2meubToum7zbYcdS0OOsz9j0PyeVD3WEbki59gTgC8Aay00jhJQihdbGHG4C_joS7dIKYGdOVnTsApn-JIf-qWBnzNOwNl2mqYPSkrI51mstRcamTHQ8uDwTORi8IZWd5nSukk03QiGF8g6eK-&c=WkuHQbfWKRpoHrN2d49ecEirm3KVtsDaJvoI95Dw3PhRMBbNAPdCSXlmMJ8b4cXIGjy6K5Wu1Qtk0iMMp5PY0L7wNOQVbDDprcmYFL1e1FdPtU8ppmefOw1Rf9ECW-tJtZ3r0toWypkZ3ZrT8w9nV5TqksmbEZ8VxgYdGt7iVExzf0XobvwLGbzmpYxp_kctg1I53o-5gNi6L3EBXqeQK2dzNsD0Du4s2L3_S0tG7N4Q2OzLUokJBxJV8zIwR2WH2cUcxWWFKWXFf1pR0XoosNWuPuGk7LJrySWyGa4h_SP05MTLvPO_Awx3xLvkTDxOinVrhIxYUTqxMOYj1g8c07xAqZwv065jAaySUX6H_u5ocQN7n8NpSPLjARTBop2Xlsu4Rer7xXDnwBfD2hLUdOP15g_0hNuOYq3zs7GqY6xmUhN6WCAajkNUHY4Oe6VZbLZ0GXfLsPoDZYfIsM4oMy5zwZV9SLHTREQ2APBdXJKjsS0sP9ZltfPDsP5stwyWhaK-Kbs1ZARpsmHv-HoLTd1sIz6yskdHOux-BB91DMVxeyodNa3Ewn0N8DwUHLSruwgj7A_QVYJXM9jkL3k6aoNEQYUwHBcFua60d_4abJbbPe3bX1dT3uZhQCp8sAiY6MDytM7upgWe160kkBYnghzTQb4wIBoR13fBpBlHMSSUDgaxXqkyaDB_APiFgCvT1c7Y1Fk7UqA3xDR7uowFoPFpavzJQEYLR7E8003JefIvM_XGF6DBL5SzX7FXTPwKYUqeo63gXMZgEpBaA6vw2d2XSVbzCQYgVe53OQhFLZ2jFf0YD94SFCHao0IIi21Aqw4CBzQioODPR0uTBrqJiAnX9ZCcbxMI5c1BmKsw-MgFpTF6PxGfdLxdxDu3vjGk1b82t0mpXNyCJlx_iGfU866S0ggUCht818bAq05DdKyxBUmcHdt7J0&r=3728658154071684509
  • http://{BLOCKED}i.{BLOCKED}temhost.net/t/i/osc?sid=331002584-US-244&dt=1517545841&gid=83195246-F39B-4EA2-ADF5-EC3521958BFD&mi=ba77811f427d63a74658c42ee94c46d95749d2d8&tz=-8&ln=1&lc=0&bis=0&bief=0&biefx=0&bif=0&crg=0&os=6.1&f=4187229708


  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 1.916.16
SSAPI パターンリリース日: 2018年2月2日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

スケジュールされたタスクを削除します。

Windows 2000、XP および Server 2003 の場合:

  1. Windowsのスケジュールされたタスクを起動します。
    [スタート]-[すべてのプログラム]-[アクセサリ]-[システム ツール]-[タスク]を開きます。
  2. スケジュール欄に以下の値がある該当タスクを指定します。
    • One System Care Monitor
    • One System Care Run Delay
    • One System Care Task
    • One System CarePeriod
  3. 上記タスク上で右クリックし、[プロパティ]をクリックします。
  4. タブ[タスク]の「実行するファイル名」欄に、以下の文字列を含むかどうか確認します。
    Cmd /c /rd /s /q C:
  5. 上記文字列が確認された場合、該当タスクを削除します。

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合:

  1. Windowsタスクスケジューラ画面を開きます。
    • Windows Vista、7 および Server 2008 の場合:
      • [スタート]を選択し、[検索]欄に"taskschd.msc"と入力して、Enterを押します。
    • Windows 8、8.1 および Server 2012 の場合:
      • 画面の左下隅を右クリックし、[実行]を選択し、"taskschd.msc"と入力。Enterを押します。
  2. 左側のパネルで、[タスクスケジューラライブラリ]をクリック。
  3. 上部中央のパネルで、[トリガー]欄に値を含む各タスクを確認します。
    • One System Care Monitor
    • One System Care Run Delay
    • One System Care Task
    • One System CarePeriod
  4. 中央下のパネルの[操作]タブをクリック。[詳細]欄で以下の文字列を確認します。
    Cmd /c /rd /s /q C:
  5. 上述の文字列が確認される場合、該当のタスクを削除します。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\One System Care\One System Care on the Web.url
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\One System Care\Launch One System Care.lnk
  • %All Users Profile%\d1051927-4923-1\BIT3715.tmp
  • %All Users Profile%\d1051927-4923-1\d1051927-4923-1.d
  • %All Users Profile%\d1051927-4d51-0\BIT3FE3.tmp
  • %All Users Profile%\d1051927-4d51-0\d1051927-4d51-0.d
  • %Application Data%\One System Care\Languages\English.xml
  • %Application Data%\One System Care\Languages\Swedish.xml
  • %Application Data%\One System Care\Languages\French.xml
  • %Application Data%\One System Care\Languages\German.xml
  • %Application Data%\One System Care\Languages\Danish.xml
  • %Application Data%\One System Care\Languages\Italian.xml
  • %Application Data%\One System Care\Languages\Dutch.xml
  • %Application Data%\One System Care\Languages\Norwegian.xml
  • %Application Data%\One System Care\Languages\Spanish.xml
  • %Application Data%\One System Care\Languages\Portuguese.xml
  • %Application Data%\One System Care\Languages\Parameters.xml
  • %Program Files%\OneSystemCare\CleanupConsole.exe
  • %Program Files%\OneSystemCare\OSCShellExtension.dll
  • %Program Files%\OneSystemCare\SystemConsole.exe
  • %Program Files%\OneSystemCare\SystemCash.exe
  • %Program Files%\OneSystemCare\uninstall.bmp
  • %Program Files%\OneSystemCare\cancel.bmp
  • %Program Files%\OneSystemCare\icon.ico
  • %Program Files%\OneSystemCare\Uninstaller.exe
  • %Program Files%\OneSystemCare\OneSystemCare.exe
  • %Program Files%\OneSystemCare\OneSystemCare.ini
  • %System Root%\Users\Public\Desktop\Launch One System Care.lnk
  • %Windows%\Tasks\One System CarePeriod.job

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA_ONESYSTEMCARE.GA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください