Trend Micro Security

PUA_REGISTRYBOOSTER.GA

2018年1月5日
 解析者: John Anthony Banes   
 別名:

PUP.Optional.Uniblue.A (MalwareBytes)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 潜在的に迷惑なアプリケーション
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

  詳細

ファイルサイズ 6,965,840 bytes
タイプ EXE
メモリ常駐 なし
発見日 2017年12月6日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • %Application Data%\Microsoft\Internet Explorer\Quick Launch\Uniblue RegistryBooster.lnk
  • %Desktop%\Uniblue RegistryBooster.lnk
  • %Program Files%\Uniblue\RegistryBooster\cwebpage.dll
  • %Program Files%\Uniblue\RegistryBooster\InstallerExtensions.dll
  • %Program Files%\Uniblue\RegistryBooster\intermediate_views.dat
  • %Program Files%\Uniblue\RegistryBooster\Launcher.exe
  • %Program Files%\Uniblue\RegistryBooster\library.dat
  • %Program Files%\Uniblue\RegistryBooster\locale\br\br.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\br\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\de\de.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\de\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\dk\dk.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\dk\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\en\en.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\en\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\es\es.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\es\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\fi\fi.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\fi\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\fr\fr.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\fr\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\gr\gr.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\gr\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\it\it.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\it\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\jp\jp.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\jp\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\nl\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\nl\nl.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\no\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\no\no.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\pl\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\pl\pl.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\pt\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\pt\pt.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\ru\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\ru\ru.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\se\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\se\se.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\tr\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\tr\tr.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\xs\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\xs\xs.dll
  • %Program Files%\Uniblue\RegistryBooster\locale\xt\LC_MESSAGES\messages.mo
  • %Program Files%\Uniblue\RegistryBooster\locale\xt\xt.dll
  • %Program Files%\Uniblue\RegistryBooster\Microsoft.VC90.CRT.manifest
  • %Program Files%\Uniblue\RegistryBooster\msvcp90.dll
  • %Program Files%\Uniblue\RegistryBooster\msvcr90.dll
  • %Program Files%\Uniblue\RegistryBooster\rb_move_serial.exe
  • %Program Files%\Uniblue\RegistryBooster\rb_ubm.exe
  • %Program Files%\Uniblue\RegistryBooster\rbmonitor.exe
  • %Program Files%\Uniblue\RegistryBooster\rbnotifier.exe
  • %Program Files%\Uniblue\RegistryBooster\registrybooster.exe
  • %Program Files%\Uniblue\RegistryBooster\repair_transform.xsl
  • %Program Files%\Uniblue\RegistryBooster\settings.ini
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\comtypes.txt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\cwebpage.dll.html
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\decorator.py.txt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\ordereddict.py.txt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\py2exe.txt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\python.txt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\python-changes.txt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\simplejson.txt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms\wmi.txt
  • %Program Files%\Uniblue\RegistryBooster\views.dat
  • %ProgramData%\{GUID}\{GUID}.native.bitness.log
  • %ProgramData%\{GUID}\{GUID}.native.data.log
  • %ProgramData%\{GUID}\{GUID}.native.elements.log
  • %ProgramData%\{GUID}\{GUID}.native.weight.log
  • %ProgramData%\{GUID}\bm_installer.dat
  • %ProgramData%\{GUID}\bm_installer.exe
  • %ProgramData%\{GUID}\bm_installer.lan
  • %ProgramData%\{GUID}\bm_installer.lnk
  • %ProgramData%\{GUID}\bm_installer.par
  • %ProgramData%\{GUID}\bm_installer.res
  • %ProgramData%\{GUID}\instance.dat
  • %ProgramData%\{GUID}\mia.lib
  • %Start Menu%\Programs\Uniblue\RegistryBooster\をアンインストールRegistryBooster.lnk
  • %Start Menu%\Programs\Uniblue\RegistryBooster\RegistryBooster.lnk

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。.)

プログラムは、以下のフォルダを作成します。

  • %Program Files%\Uniblue\
  • %Program Files%\Uniblue\RegistryBooster
  • %Program Files%\Uniblue\RegistryBooster\locale
  • %Program Files%\Uniblue\RegistryBooster\locale\de
  • %Program Files%\Uniblue\RegistryBooster\locale\dk
  • %Program Files%\Uniblue\RegistryBooster\locale\en
  • %Program Files%\Uniblue\RegistryBooster\locale\es
  • %Program Files%\Uniblue\RegistryBooster\locale\fi
  • %Program Files%\Uniblue\RegistryBooster\locale\fr
  • %Program Files%\Uniblue\RegistryBooster\locale\gr
  • %Program Files%\Uniblue\RegistryBooster\locale\it
  • %Program Files%\Uniblue\RegistryBooster\locale\jp
  • %Program Files%\Uniblue\RegistryBooster\locale\nl
  • %Program Files%\Uniblue\RegistryBooster\locale\no
  • %Program Files%\Uniblue\RegistryBooster\locale\pl
  • %Program Files%\Uniblue\RegistryBooster\locale\pt
  • %Program Files%\Uniblue\RegistryBooster\locale\ru
  • %Program Files%\Uniblue\RegistryBooster\locale\se
  • %Program Files%\Uniblue\RegistryBooster\locale\tr
  • %Program Files%\Uniblue\RegistryBooster\locale\xs
  • %Program Files%\Uniblue\RegistryBooster\locale\xt
  • %Program Files%\Uniblue\RegistryBooster\Third Party Terms
  • %ProgramData%\{GUID}
  • %ProgramData%\{GUID}\{GUID}
  • %Start Menu%\Programs\Uniblue\
  • %Start Menu%\Programs\Uniblue\RegistryBooster

(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。.)

他のシステム変更

プログラムは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\{initial filename}.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\bm_installer.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2

HKEY_LOCAL_MACHINE\SOFTWARE\MimarSinan

HKEY_LOCAL_MACHINE\SOFTWARE\MimarSinan\
InstallAware

HKEY_LOCAL_MACHINE\SOFTWARE\MimarSinan\
InstallAware\Ident.Cache

HKEY_LOCAL_MACHINE\SOFTWARE\MimarSinan\
InstallAware\Ident.Cache\{GUID}

プログラムは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\bm_installer.exe
IsHostApp = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
LANG = Japanese

HKEY_LOCAL_MACHINE\SOFTWARE\MimarSinan\
InstallAware\Ident.Cache\{GUID}
VersionMajor = 6

HKEY_LOCAL_MACHINE\SOFTWARE\MimarSinan\
InstallAware\Ident.Cache\{GUID}
VersionMinor = 0

HKEY_LOCAL_MACHINE\SOFTWARE\MimarSinan\
InstallAware\Ident.Cache\{GUID}
(Default) = C:\ProgramData\{GUID}\

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
LANG = Japanese

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
set_scan = TRUE

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
InstalledLocation = %Program Files%\Uniblue\RegistryBooster\Launcher.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
LatestDownloadUrl = http://{BLOCKED}ad.{BLOCKED}e.com/ven/rb/insaneent/web/registrybooster.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
CampaignDownloadUrl = http://{BLOCKED}ad.{BLOCKED}ue.com/ven/rb/insaneent/web/registrybooster.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
PurchaseUrl = http://www.{BLOCKED}ities.com/products/campaigns/rbtrial/venorder/insaneentweb/

HKEY_LOCAL_MACHINE\SOFTWARE\Uniblue\
Registry Booster2
SuppressPurchaseParams = 0

その他

プログラムは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}b.{BLOCKED}e.com.s3.amazonaws.com/latest_updates/application.txt
  • http://{BLOCKED}d.{BLOCKED}e.com/ubm/lhb?uuid={value}&p=RegistryBooster&v=6.0.7.2&a=scan

  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 1.905.00
SSAPI パターンリリース日: 2017年12月28日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「PUA_REGISTRYBOOSTER.GA」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

自身のアンインストールオプションを使用し、「PUA_REGISTRYBOOSTER.GA」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA_REGISTRYBOOSTER.GA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください