Trend Micro Security

SPYW_HIJACK

2012年10月9日
 解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

スパイウェアは、ユーザのInternet Explorer(IE)のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 447,560 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年10月3日

侵入方法

スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://{BLOCKED}55.vo.msecnd.net/snapdo-website-version/Smartbar.Installer.Mini.exe
  • http://{BLOCKED}p.do

インストール

スパイウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\Mozilla\Firefox\Profiles\4wwmjcqo.default
  • %Application Data%\SmartbarBar

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Browser Infrastructure Helper = "%Application Data%\Smartbar\Application\SnapDo.exe startup"

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\ApprovedExtensionsMigration
{AE07101B-46D4-4A98-AF68-0333EA26E113} =

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Search
Default_Search_URL = "http://search.snap.do/?q={searchTerms}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Search
SearchAssistant = "http://search.snap.do/?q={searchTerms}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes
DefaultScope = "{006ee092-9658-4fd6-bd8e-a21a348e59f5}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TabbedBrowsing
ShowTabsWelcome = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TabbedBrowsing
UseHomepageForNewTab = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TabbedBrowsing
NewTabPageShow = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Search Bar = "http://search.snap.do/?q={searchTerms}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "yes"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchUrl
Default = "http://search.snap.do/?q={searchTerms}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchUrl
Default = "http://search.snap.do/?q={searchTerms}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Toolbar
{ae07101b-46d4-4a98-af68-0333ea26e113} = "Smartbar"

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\IESmartBar.BandObjectAttribute

HKEY_CLASSES_ROOT\IESmartBar.BHO

HKEY_CLASSES_ROOT\IESmartBar.DockingPanel

HKEY_CLASSES_ROOT\IESmartBar.IESmartBar

HKEY_CLASSES_ROOT\IESmartBar.IESmartBarBandObject

HKEY_CLASSES_ROOT\IESmartBar.SmartbarDisplayState

HKEY_CLASSES_ROOT\IESmartBar.SmartbarMenuForm

HKEY_CURRENT_USER\Software\Smartbar

HKEY_CURRENT_USER\Software\SmartbarBackup

HKEY_CURRENT_USER\Software\SmartbarLog

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Features\5A924A563B25F714ABA48100E97D69BE

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\5A924A563B25F714ABA48100E97D69BE

HKEY_CURRENT_USER\Software\Microsoft\
Installer\UpgradeCodes\5E8031606EB60A64C882918F8FF38DD4

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{31ad400d-1b06-4e33-a59a-90c2c140cba0}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、ユーザのIEのスタートページを以下のWebサイトに変更します。

  • http://search.{BLOCKED}p.do/

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}55.vo.msecnd.net

  対応方法

対応検索エンジン: 9.200
SSAPI パターンバージョン: 1.335.00
SSAPI パターンリリース日: 2012年10月3日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

起動中ブラウザのウインドウを全て閉じてください。

手順 3

自身のアンインストールオプションを使用し、「SPYW_HIJACK」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %User Profile%\Application Data\Mozilla\Firefox\Profiles\4wwmjcqo.default
%Application Data%\SmartbarBar

手順 5

Internet Explorer(IE)のスタートページおよび検索ページの設定を修正します。

[ 詳細 ]

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「SPYW_HIJACK」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください