更新日: 2007 年 2 月 13 日 11:44:32 AM
種別: アドウェア
リスクの危険度: 高
ファイル名:
Msiesh.dll
iefeatsl.dll
image.dll
Mshp.dll
f2install.exe
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Adware.Iefeats が実行されると、次のことを行います。
- 次のファイルを作成します。
%SystemDrive%\f2install.log
注意: %SystemDrive% は可変で Windows がインストールされているドライブを参照します。標準では、このドライブは C ドライブです。
- 次のレジストリストリサブキーへ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
次の値を追加します。
"[インストーラーファイルの名前]" = "[インストーラーファイルのロケーションおよび名前]"
これにより、Windows が起動されるたびにこのインストーラが実行されるようにします。
- 次のレジストリサブキーを作成して移植します。
HKEY_CLASSES_ROOT\CLSID\[インストーラー CLSID]
[インストーラー clsid] は、インストーラのロケーションおよびファイル名によって決定される、セミランダムな CLSID です。
- 次の 1 つまたは複数のドメインから、暗号化されたサービスおよびブラウザヘルパーオブジェクトをダウンロードします。
- u47.cc
- u45.cx
- u48.cc
- u46.cx
ファイルを暗号解除し、それらを 1024 までのランダムなバイトとマージし、%Windir%\[ランダムな実行可能名] または %System%\[ランダムな実行可能名] として保存します。ここで、[ランダムな実行可能名] は、インストーラーによって生成されるファイル名で、次の文字列のいずれかを結合したものです。
- sdk
- java
- cr
- d3
- ms
- ie
- sys
- win
- add
- app
- atl
- mfc
- api
- net
- ip
- nt
2 つのランダムな文字と (しばしばその後に文字列 "32" が続きます)。また次のいずれかの拡張子が付きます。
- .dll
- .exe
また、このインストーラーは、上記のドメインのいずれかから、暗号化されたリソースファイルをダウンロードします。それを暗号解除し、%Windir%\[ランダムな 5 つの文字].dll または %System%\[ランダムな 5 つの文字].dll として保存します。
注意 : %Windir% は可変で Windows のインストールフォルダを参照します。標準では、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。
- 次のレジストリサブキーへダウンロードされたサービスへ
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
次の値を追加します。
"[サービスファイルの名前]" = "[サービスファイルのロケーションと名前]"
これにより、次に Windows が起動された際にこのサービスが実行できるようにします。
- ダウンロードされたサービスおよびブラウザヘルパーオブジェクトのために、次のレジストリサブキーを作成して移植します。
HKEY_CLASSES_ROOT\CLSID\[サービス CLSID]
HKEY_CLASSES_ROOT\CLSID\[BHO CLSID]
注意: [サービス CLSID] および [BHO CLSID] は、コンポーネントのロケーションおよびファイル名によって決定される、セミランダムな CLSID です。
- サービスを実行し、ブラウザヘルパーオブジェクトを初期設定します。
- 有害である可能性のある Web サイトを訪れるようユーザーを騙すために、オペレーティングシステムの正規の動作に類似したメッセージボックスまたは警告バルーンを定期的に表示する可能性があります。
- 次のことを行うことによって、削除を避けようとします。
- 関連付けられたサービスおよびブラウザヘルパーオブジェクトコンポーネントのバックアップコピーを、[6 つのランダムな文字].dat ファイルまたは %Windir% フォルダ内の既存のファイルのランダムに名付けられた NTFS 代替データストリームへ作成する。
- 無くなったコンポーネントを復元する。
- 必要な場合は、無くなったコンポーネントをダウンロードして再インストールする。
- CLSID レジストリサブキーを再作成し、それらを Adware.Iefeats の他のコンポーネントの特定に必要な情報でアップデートする。
- セキュリティリスクおよび脅威をさらにダウンロードしようとする可能性があります。
ダウンロードされたサービスが実行されると、次のことを行います。
- 次のレジストリサブキーを削除しようとします。
HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain
HKEY_CLASSES_ROOT\CLSID\[HTML フィルター CLSID]
HKEY_CLASSES_ROOT\CLSID\ [プレインフィルター CLSID]
注意: [HTML フィルター CLSID] および [プレインフィルター CLSID] は、サブキーの CLSID エントリの値です。
HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain
さらに、サブキーのデフォルトのエントリによって参照されるファイルの削除を試みます。
HKEY_CLASSES_ROOT\CLSID\[HTML フィルター CLSID]\InProcServer32
HKEY_CLASSES_ROOT\CLSID\[プレインフィルター CLSID] \InProcServer32
- 次のレジストリサブキーの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
次の値の削除を試みます。
"AppInit_DLLs"
そして、この値によって参照されるファイルを削除します。
- 次のイメージパスの、目立たないように名付けられたサービスをインストールします。
"[サービスファイルのロケーションおよび名前] /s"
および次のいずれかの表示名:
- Network Security Service
- Network Security Service (NSS)
- Remote Procedure Call (RPC) Helper
- Workstation NetLogon Service
注意: このサービスは、削除を避けようとして、インストーラーの次の機能を複製します。
- RunOnce レジストリサブキー内の値の再作成
- バックアップからの欠落したコンポーネントの復元およびコピーの作成
- CLSID レジストリサブキーを再作成し、それらを Adware.Iefeats の他のコンポーネントの特定に必要な情報でアップデートする。
ダウンロードされたブラウザヘルパーオブジェクトが初期設定されると、次のことを行います。
- 次のレジストリサブキーを作成して移植します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\HSA
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW
これにより、次のプログラムのための機能しないアンインストーラを提供する Web ページへのリンクを作成します。
- Home Search Assistent
- Search Extender
- Shopping Wizard
- 次のレジストリサブキーを作成して移植します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[BHO CLSID]
これにより、自分自身をブラウザヘルパーオブジェクトとして登録します。
- 次のレジストリサブキーを削除することによって、Internet Explorer の検索機能を差し替えます。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks
また、再作成されたサブキーへ
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks
次の値を追加します。
"[BHO CLSID]" = "0x00 [38 意味の無いバイト]"
- 次のフォルダ内に各種のリンクを作成する可能性があります。
- %UserProfile%\Favourites
- %UserProfile%\Favourites\Sites
注意: %UserProfile% は可変でカレントユーザのプロファイルフォルダを参照します。標準では、このフォルダは C:\Documents and Settings\[カレントユーザ] (Windows NT/2000/XP) です。
いったんこれが起こると、Internet Explorer を開いた際に、ブラウザヘルパーオブジェクトが次のことを行います。
- 次の 1 つまたは複数のドメインから、暗号化された構成ファイルおよびデータファイルをダウンロードします。
- u47.cc
- u45.cx
- u48.cc
- u46.cx
ファイルを暗号解除し、%Windir%\[ランダムなファイル名] または %System%\[ランダムなファイル名] として保存します。
- 次のレジストリストリサブキーへ
HKEY_LOCAL_MACHINE\Software\Microsoft
次の値を追加します。
"Set"
- 次のレジストリストリサブキーへ
HKEY_CLASSES_ROOT\icofile
次の値を追加します。
"ImageDescriptor"
- 次のレジストリサブキー内の
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
次の値を変更します。
"Default_Page_URL" = "about:blank"
"Default_Search_URL" = "res://[リソースファイルのロケーションおよび名前]/sp.html#37049
"Use Search Asst" = "no"
- 次のレジストリサブキー内の
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
次の値を変更します。
"Search Bar" = "res://[リソースファイルのロケーションおよび名前]/sp.html#37049
"Search Page" = "res://[リソースファイルのロケーションおよび名前]/sp.html#37049
"Start Page" = "about:blank"
- 次のレジストリサブキーの
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
次の値を変更します。
"SearchAssistant" = "res://[リソースファイルのロケーションおよび名前]/sp.html#37049
- プロセスを停止させ、ファイルを削除し、レジストリサブキーを削除することによって、各種のセキュリティリスクを無効にし、ダメージを与えようとします。このアドウェアによって使用されるアルゴリズムにはセキュリティリスクの適正な検出のための機能が無いため、これは正規のプロセスおよびファイルにもダメージを与える可能性があります。またこれは、次の正規のファイルも削除します。
%System%\drivers\etc\hosts
および次のフォルダ:
%Windir%\LastGood
- 次のレジストリサブキーを作成します。
HKEY_CLASSES_ROOT\CLSID\{676575dd-4d46-911d-8037-9b10d6ee8bb5}
- ポップアップ広告を表示し、ユーザーの許可なく各種の Web サイトにコンタクトします。
注意: このブラウザヘルパーオブジェクトは、アドウェアの削除を困難にするために、インストーラーの次の機能を複製します。
- バックアップからの欠落したコンポーネントの復元およびコピーの作成
- 必要な場合は、無くなったコンポーネントをダウンロードして再インストールする。
- CLSID レジストリサブキーを再作成し、それらを Adware.Iefeats の他のコンポーネントの特定に必要な情報でアップデートする。
このアドウェアの古いバージョンは、次のことを行う可能性があります。
- 次のレジストリサブキーへ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
次の値を追加します。
"Image"= "rundll32 [image.dll のロケーション]\image.dll,UpdateDll fs"
- 次のレジストリサブキーへ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
次の値を追加します。
"Updater"= "rundll32 [iefeatsl.dll のロケーション]iefeatsl.dll\1.new,UpdateDll fs"
- 次のレジストリサブキーを作成して移植します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ iefeatsl
- 次のレジストリサブキーを作成して移植することによって、ブラウザヘルパーオブジェクトを登録します。
HKEY_CLASSES_ROOT\CLSID\{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}
HKEY_CLASSES_ROOT\CLSID\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
HKEY_CLASSES_ROOT\CLSID\ {FD9BC004-8331-4457-B830-4759FF704C22}
HKEY_CLASSES_ROOT\iefeatsl.ViewSource
HKEY_CLASSES_ROOT\iefeatsl.ViewSource.1
HKEY_CLASSES_ROOT\Image.Image
HKEY_CLASSES_ROOT\Image.Image.1
HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject
HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject.1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{FD9BC004-8331-4457-B830-4759FF704C22}
- Internet Explorer のスタートページをドメイン mshp.dll 上の URL に設定し、ブラウザが開かれると、検索エンジンページを表示します。
- 次のファイルをダウンロードします。
- [アドウェアフォルダ]\iefeatsl.dll
- [アドウェアフォルダ]\image.dll
- [アドウェアフォルダ]\msiesh.dll
- [アドウェアフォルダ]\mssearch.dll (この文書の記述時には、入手できませんでした)
- %Windir%\mshp.dll
- [アドウェアフォルダ]\dict.dat (構成ファイル)
- [アドウェアフォルダ]\keywords.dat (構成ファイル)
- [アドウェアフォルダ]\update.txt (構成ファイル)
[アドウェアフォルダ] は、アドウェアのインストールフォルダで、通常は %UserProfile%\Application Data\iefeatsl です。
注意: %UserProfile% は可変でカレントユーザのプロファイルフォルダを参照します。標準では、このフォルダは C:\Documents and Settings\[カレントユーザ] (Windows NT/2000/XP) です。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
