Adware.PurityScan

ドキュメントを印刷する

更新日: 2007 年 7 月 3 日 5:58:22 AM

種別: アドウェア

発行者: Outerinfo; outerinfo.com

リスクの危険度: 中

影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Adware.PurityScan は自分自身をアップデートする機能を持つため、この情報はリリースされるこのアドウェアの新しいバージョンの変化に依存します。

Adware.PurityScan は、実行されると、自分自身を次のロケーションへ追加します。
%UserProfile%\Start Menu\Programs\Purity Scan

次にこのプログラムは、次のファイルを作成する可能性があります（1 つ目または 2 つ目（またはその両方）の文字は疑問符（?）に置き換えられる可能性があります）。

%System%\wnsinttr.exe
%System%\wnscpit.exe
%System%\Microsoft.NET.exe
%System%\Drivers.exe
%System%\WinSxS.exe
%System%\Tasks.exe
%System%\system32.exe
%System%\system.exe
%System%\symbols.exe
%System%\security.exe
%System%\java.exe
%System%\Help.exe
%System%\Fonts.exe
%System%\assembly.exe
%System%\AppPatch.exe
%System%\regsvr32.exe
%System%\regedit.exe
%System%\tracert.exe
%System%\nslookup.exe
%System%\arpa.exe
%System%\ping.exe
%System%\mshta.exe
%System%\nopdb.exe
%System%\winword.exe
%System%\ati2evxx.exe
%System%\spool32.exe
%System%\msconfig.exe
%System%\userinit.exe
%System%\netdde.exe
%System%\mmc.exe
%System%\scanregw.exe
%System%\wucrtupd.exe
%System%\wuauboot.exe
%System%\wuauclt.exe
%System%\wuaclt.exe
%System%\rundll.exe
%System%\fast.exe
%System%\alg.exe
%System%\cmd.exe
%System%\dexplore.exe
%System%\iexplore.exe
%System%\notepad.exe
%System%\msdtc.exe
%System%\javaw.exe
%System%\ntvdm.exe
%System%\wowexec.exe
%System%\winspool.exe
%System%\taskmgr.exe
%System%\rundll32.exe
%System%\msiexec.exe
%System%\logonui.exe
%System%\dvdplay.exe
%System%\dllhost.exe
%System%\chkdsk.exe
%System%\chkntfs.exe
%System%\attrib.exe
%System%\winlogon.exe
%System%\spoolsv.exe
%System%\smss.exe
%System%\services.exe
%System%\lsass.exe
%System%\csrss.exe
%System%\svchost.exe
%System%\explorer.exe

次にこのプログラムは、次のレジストリエントリのうちの 1 つまたは複数を作成して、Windows が起動されるときにこれが実行されるようにする可能性があります。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"

上記のレジストリエントリで、[文字] は可変の文字で、 PuritySCAN の異なるバージョンによって変わります。私達が見たサンプルでは通常、アップデートされたバージョンをインストールする前に古いバージョンを削除していました。

その後このプログラムは、次のレジストリサブキーを作成します。
HKEY_CURRENT_USER\software\purityscan
HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
HKEY_USERS\.DEFAULT\Software\Ttee
HKEY_CURRENT_USER\Software\Toos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
HKEY_CURRENT_USER\Software\Aubt

その後、次のファイルのうちのいくつかまたはすべてを作成する可能性があります。

%Program Files%\PurityScan\PuritySCAN.exe
%ProgramFiles%\PurityScan\PuritySCANUninstall.exe
%System%\Winserv[文字].exe
%System%\Winservn.exeps_uninstaller.exe
%CurrentFolder%\Rs.exe
%Windir%\Application\Data\Wbta.exe
%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe
%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe
%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rbap.exe
%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe

このプログラムは、次のフォルダを作成する可能性があります。
%UserProfile%\Application Data\ilas

その後、デスクトップ上にこのリスクへのショートカットを作成します。

次にこのプログラムは、clickspring.net ドメイン上のリモートサーバーへコンタクトします。このアドウェアはこの後、システム情報およびインストールのステータスをこのサーバーへ登録し、インストールすべきソフトウェアのアップデートをチェックします。

またこれは、ブラウザファイル、キャッシュ、履歴、Cookie を含む Internet Explorer のファイルをスキャンして、アダルト関連のキーワードを探します。その後、広告を表示します。

このプログラムは、次のドメイン上の Web サイトから広告をダウンロードして表示します。

fp.clickspring.net
www.clickspring.net
legend.psdtools.com
pisces.clickspring.com
app.whenu.com

駆除方法

危険性の評価