Adware.Istbar

ドキュメントを印刷する

更新日: 2007 年 2 月 13 日 11:34:03 AM

種別: アドウェア

発行者: Integrated Search Technologies

リスクの危険度: 中

ファイル名: IstBar_DH.dll istbar.dll istbarcm.dll istdownload.exe cmctl.dll istbarcm.dll ysbactivex.dll

影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

注意: 2005 年 3 月 3 日またはそれより前のウイルス定義では、このアドウェアを Adware.Istbar!Dl として検出します。

Adware.Istbar がインストールされると、次のことを行います。

次のフォルダおよびファイルのうちいくつかを作成する可能性があります。
- %ProgramFiles%\ISTbar\cmctl.dll
- %ProgramFiles%\ISTbar\istbarcm.dll
- %ProgramFiles%\ISTbar\imagemap_normal.bmp
- %ProgramFiles%\ISTbar\imagemap_over.bmp
- %ProgramFiles%\ISTbar\version.txt
- %ProgramFiles%\ISTbar\xml_istbar.xml
- %ProgramFiles%\IstSvc\istsvc.exe
- %Windir%\[ランダムなファイル名].exe
- %Windir%\Downloaded Program Files\ysbactivex.dll
- %Windir%\Downloaded Program Files\istactivex.dll
- %UserProfile%\Favorites\Fun & Games, drops numerous link files in this folder
- %UserProfile%\Favorites\Going Places, drops numerous link files in this folder
- %UserProfile%\Favorites\Living, drops numerous link files in this folder
- %UserProfile%\Favorites\Shop, drops numerous link files in this folder
- %UserProfile%\Favorites\Technology, drops numerous link files in this folder
  
  注意: %ProgramFiles% は可変でプログラムファイルフォルダを参照します。デフォルトでは、このフォルダは C:\Program Files です。
- %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。
- %UserProfile% は可変でカレントユーザのプロファイルフォルダを参照します。標準では、このフォルダは C:\Documents and Settings\[カレントユーザ] (Windows NT/2000/XP) です。
次のレジストリストリサブキーへ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

次の値を追加します。

"IST Service" = "%ProgramFiles%\IstSvc\istsvc.exe"
"[ランダムな名前]" = "%Windir%\[ランダムなファル名].exe"

これにより、Windows の起動時にこのリスクが実行されるようにします。
次のレジストリキーのうちのいくつかを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar
HKEY_CURRENT_USER\Software\ISTbar
HKEY_CURRENT_USER\Software\IST
HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc
HKEY_CLASSES_ROOT\ISTbar.BarObj
HKEY_CLASSES_ROOT\Pugi.PugiObj.1
HKEY_CLASSES_ROOT\Pugi.PugiObj
HKEY_CLASSES_ROOT\TestContentMatchControl1.ContentMatchTag
HKEY_CLASSES_ROOT\TestContentMatchControl1.ContentMatchTag.1
HKEY_CLASSES_ROOT\CLSID\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
HKEY_CLASSES_ROOT\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}
HKEY_CLASSES_ROOT\CLSID\{42F2C9BA-614F-47c0-B3E3-ECFD34EED658}
HKEY_CLASSES_ROOT\CLSID\{5F1ABCDB-A875-46c1-8345-B72A4567E486}
HKEY_CLASSES_ROOT\CLSID\{771A1334-6B08-4a6b-AEDC-CF994BA2CEBE}
HKEY_CLASSES_ROOT\CLSID\{7C559105-9ECF-42b8-B3F7-832E75EDD959}
HKEY_CLASSES_ROOT\CLSID\{DC341F1B-EC77-47BE-8F58-96E83861CC5A}
HKEY_CLASSES_ROOT\CLSID\{FAA356E4-D317-42A6-AB41-A3021C6E7D52}
HKEY_CLASSES_ROOT\Interface\{0985C112-2562-46F2-8DA6-92648BA4630F}
HKEY_CLASSES_ROOT\Interface\{0E704BA4-C517-4BE7-A1CD-C3FFDA1E1FFE}
HKEY_CLASSES_ROOT\Interface\{7B178417-3CDA-444F-94FF-312C0A3A78A8}
HKEY_CLASSES_ROOT\Interface\{7B9A715E-9D87-4C21-BF9E-F914F2FA953F}
HKEY_CLASSES_ROOT\Interface\{90CE74CC-788A-4A00-B38D-CBCA08CC9E8F}
HKEY_CLASSES_ROOT\Interface\{9388907F-82F5-434D-A941-BB802C6DD7C1}
HKEY_CLASSES_ROOT\Interface\{A36A5936-CFD9-4B41-86BD-319A1931887F}
HKEY_CLASSES_ROOT\Interface\{BF06DA8E-2BEB-4816-9BBD-F7625246E245}
HKEY_CLASSES_ROOT\Interface\{DC065FA6-08F9-4C50-99DC-275D16CFC5BD}
HKEY_CLASSES_ROOT\Interface\{EAF2CCEE-21A1-4203-9F36-4929FD104D43}
HKEY_CLASSES_ROOT\TypeLib\{67907B3C-A6EF-4A01-99AD-3FCD5F526429}
HKEY_CLASSES_ROOT\Typelib\{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
HKEY_CLASSES_ROOT\Typelib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}
HKEY_CLASSES_ROOT\TypeLib\{89A10D64-83BF-41A4-86A3-7AAF1F8F3D1B}
HKEY_CLASSES_ROOT\TypeLib\{8C752C5E-3C10-4076-AF0A-FFC69FA20D1B}
HKEY_CLASSES_ROOT\TypeLib\{CC257918-F435-4A33-8231-2B8195990CCA}
HKEY_CLASSES_ROOT\TypeLib\{DB447818-96B4-40DF-8A55-720DA496F514}
HKEY_CLASSES_ROOT\TypeLib\{E9A5B71C-093B-4F34-AF07-34FCA89BA0DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database
\Distribution Units\{42F2C9BA-614F-47C0-B3E3-ECFD34EED658}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database
\Distribution Units\{7C559105-9ECF-42B8-B3F7-832E75EDD959}
HKEY_CLASSES_ROOT\Component Categories
\{00021494-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\ISTbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\ISTbarISTbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\ISTsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer
\Browser Helper Objects\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap\Domains\contentmatch.net
HKEY_CLASSES_ROOT\ISTx.Installer
HKEY_CLASSES_ROOT\ISTx.Installer.2
HKEY_CLASSES_ROOT\ISTactivex.Installer
HKEY_CLASSES_ROOT\ISTactivex.Installer.1
HKEY_CLASSES_ROOT\ISTactivex.Installer.2
HKEY_CLASSES_ROOT\YSBactivex.Installer.1
HKEY_CLASSES_ROOT\YSBactivex.Installer
次のレジストリストリサブキーへ

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

次の値を追加します。

"Bandrest" = "Never"
"Search Bar" = "[COULDNOTFIND.COM ドメイン上の Web サイト]"
"Search Page" = [COULDNOTFIND.COM ドメイン上の Web サイト]"
"Search Page_bak" = [COULDNOTFIND.COM ドメイン上の Web サイト]"
"Start Page" = [COULDNOTFIND.COM ドメイン上の Web サイト]"
"Start Page_bak" = "file:/ //C:/WINNT/Web/Start.htm"
"Use Search Assistant" = "no"

これにより、スタートページおよび検索ページをリダイレクトします。
次のレジストリストリサブキーへ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

次の値を追加します。

"Bandrest" = "Never"
ファイル %Windir%\[ランダムなファイル名].exe は、他のプログラムがそのファイルにアクセスするのを防ぐように、自分自身を共有アクセス用に開きます。
次のレジストリサブキーへ

HKEY_LOCAL_MACHINE%\SOFTWARE\Microsoft\Internet Explorer\Toolbar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

次の値を追加します。

"{FAA356E4-D317-42A6-AB41-A3021C6E7D52}" = ""
"{5F1ABCDB-A875-46C1-8345-B72A4567E486}" = ""
すべての Internet Explorer ウィンドウに次のツールバーを追加します。

ウィンドウ内に入力された語に関連するリンクを、ツールバーエリア内に表示します。

駆除方法

危険性の評価