シマンテック・セキュリティ・レスポンス

http://www.symantec.com/ja/jp/security_response/index.jsp

Yontoo

更新日:
2013 年 7 月 11 日 8:06:49 AM
種別:
Potentially Unwanted App
名前:
UpToDown
バージョン:
N/A
発行者:
Media Ingea, S.L.
リスクインパクト:
Low
影響を受けるシステム:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

危険性の評価

動作

Yontoo は、Facebook からのように見える広告を表示するためのブラウザ拡張をインストールする、不要と思われるアプリケーションです。

ウイルス対策日

  • Rapid Release 初回バージョン2012 年 5 月 29 日 リビジョン018
  • Rapid Release 最新バージョン2014 年 8 月 11 日 リビジョン040
  • Daily Certified 初回バージョン2012 年 5 月 29 日 リビジョン019
  • Daily Certified 最新バージョン2014 年 8 月 12 日 リビジョン001
  • Weekly Certified 初回リリース日保留
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

テクニカルノート

この不要と思われるアプリケーションは、手動でダウンロードされて実行される必要があります。また、ほかのソフトウェアとバンドルされて届く可能性があります。

このプログラムが実行されると、次のファイルを作成します。
  • %Temp%\YontooFFClient.xpi
  • %Temp%\YontooIEClient.dll
  • %Temp%\YontooLayers.crx
  • %Temp%\YontooLayers.pem
  • %Temp%\YontooSetup-Silent.exe
  • %ProgramFiles%\Yontoo Layers Runtime\YontooIEClient.dll

続いて、次のレジストリエントリを作成します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\YontooIEClient.DLL\"AppID" = "{CFDAFE39-20CE-451D-BD45-A37452F39CF0}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}\"Default" = "YontooIEClient"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Components\{FC1DD4E4-688F-4E9B-BAE5-BFB6A956AE51}\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}"Default" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Components\{F5F971A9-DBF8-4EEC-81E3-5F1660573E6C}\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}"Default" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Components\{B6783DFA-B8C8-4CB6-AB9F-EF1A1F7F7AE8}\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}"Default" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Components\{A8F0AD53-1AEE-447E-89CD-71C325796F84}\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}"Default" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Components\{9D9785E5-3424-40B6-A287-BA143AD53109}\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}"Default" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Components\{9307081B-7444-494C-8CF6-2FA7C0E92BFB}\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}"Default" = "1"

さらに、次のレジストリサブキーを作成します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE9271F2-6EFD-44b0-A826-84C829536E93}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}\1.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\YontooIEClient.Api
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\YontooIEClient.Api.1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\YontooIEClient.Layers
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\YontooIEClient.Layers.1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Products\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Tarma Installer\Products\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}

その後、このプログラムは PageRage というブラウザ拡張をインストールします。このブラウザ拡張を使うと Facebook のスキンレイアウトを変更できますが、Facebook からのように見える広告も表示します。

駆除方法

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール

感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイト (英語) で確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイト (英語) で確認できます。
Stopping malware and other threats



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。