PUA_REGCLEAN
a variant of Win32/Systweak potentially unwanted (ESET-NOD32)
Windows
- マルウェアタイプ: 不要なアプリケーション
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。
詳細
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
プログラムは、以下のファイルを作成します。
- %System%\roboot.exe
- %User Temp%\is-B9C19.tmp\_isetup\_shfoldr.dll
- %Application Data%\Nico Mak Computing\WinZip Registry Optimizer\Version 1\results.rcp
- %Windows%\Tasks\WinZip Registry Optimizer_UPDATES.job
- %Windows%\Tasks\WinZip Registry Optimizer_DEFAULT.job
- %All Users Profile%\Desktop\WinZip Registry Optimizer.lnk
- %All Users Profile%\Start Menu\Programs\WinZip Registry Optimizer\WinZip Registry Optimizer.lnk
- %All Users Profile%\Start Menu\Programs\WinZip Registry Optimizer\Uninstall WinZip RegistrRy Optimizer.lnk
- %Program Files%\WinZip Registry Optimizer\Chinese_rcp.ini
- %Program Files%\WinZip Registry Optimizer\CleanSchedule.exe
- %Program Files%\WinZip Registry Optimizer\Danish_rcp.ini
- %Program Files%\WinZip Registry Optimizer\Dutch_rcp.ini
- %Program Files%\WinZip Registry Optimizer\eng_rcp.ini
- %Program Files%\WinZip Registry Optimizer\Finnish_rcp_fi.ini
- %Program Files%\WinZip Registry Optimizer\French_rcp.ini
- %Program Files%\WinZip Registry Optimizer\German_rcp.ini
- %Program Files%\WinZip Registry Optimizer\greek_rcp_el.ini
- %Program Files%\WinZip Registry Optimizer\isxdl.dll
- %Program Files%\WinZip Registry Optimizer\Italian_rcp.ini
- %Program Files%\WinZip Registry Optimizer\Japanese_rcp.ini
- %Program Files%\WinZip Registry Optimizer\korean_rcp.ini
- %Program Files%\WinZip Registry Optimizer\Norwegian_rcp.ini
- %Program Files%\WinZip Registry Optimizer\polish_rcp.ini
- %Program Files%\WinZip Registry Optimizer\portugese_rcp_pt.ini
- %Program Files%\WinZip Registry Optimizer\Portuguese_rcp.ini
- %Program Files%\WinZip Registry Optimizer\russian_rcp_ru.ini
- %Program Files%\WinZip Registry Optimizer\Spanish_rcp.ini
- %Program Files%\WinZip Registry Optimizer\Swedish_rcp.ini
- %Program Files%\WinZip Registry Optimizer\TraditionalCn_rcp_zh-tw.ini
- %Program Files%\WinZip Registry Optimizer\turkish_uninst_tr.ini
- %Program Files%\WinZip Registry Optimizer\unins000.da
- %Program Files%\WinZip Registry Optimizer\unins000.exe
- %Program Files%\WinZip Registry Optimizer\unins000.msg
- %Program Files%\WinZip Registry Optimizer\Winzipro.dll
- %Program Files%\WinZip Registry Optimizer\Winzipro.exe
- %Program Files%\WinZip Registry Optimizer\xmllite.dll
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
自動実行方法
プログラムは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WROReminder = %Program Files%\WinZip Registry Optimizer\Winzipro.exe -rem
他のシステム変更
プログラムは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Licenses
HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{82F3CB4B-FDE3-B323-7D80-F5834508021C}
HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{82F3CB4B-FDE3-B323-7D80-F5834508021C}\InProcServer32
HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{82F3CB4B-FDE3-B323-7D80-F5834508021C}\Containers
HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{82F3CB4B-FDE3-B323-7D80-F5834508021C}\Containers\
{19E4A5AA-5662-4FC5-A0C0-1758028E1057}
HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{82F3CB4B-FDE3-B323-7D80-F5834508021C}\Containers\
{537396C6-2D8A-4BB6-9BF8-2F0A8E2A3ADF}
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください