更新日: 2007 年 2 月 13 日 11:37:20 AM
種別: アドウェア
リスクの危険度: 高
ファイル名:
2_0_1browserhelper2.dll
unstsa2.exe
key2.txt
installer2.exe
omniscient.exe
Omni
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Adware.Blazefind は、次のことを行います。
- 次のファイルを作成します。
- %System%\2_0_1browserhelper2.dll
- %System%\UnstSA2.exe
- %System%\key2.txt
- installer2.exe
- omniscient.exe
- Omniscienthook.dll
- omniband.dll
- wsaupdater.exe
注意: %System% は可変でシステムフォルダを参照します。デフォルトでは、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
- ブラウザヘルパーオブジェクトとして自分自身を登録します。
- 次のレジストリストリサブキーへ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
次の値を追加する可能性があります。
"Windows SA" = "%ProgranFiles%\WindowsSA\omniscient.exe"
これにより、Windows が起動するたびにこのアドウェアが実行されるようにします。
注意: ファイル omniscient.exe は、必ずしも作成されるわけではありません。
- 次のレジストリサブキー内の
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop
次の値を変更する可能性があります。
"Taskbar" = "[バイナリデータ]"
"TaskbarWinXp" = "[バイナリデータ]"
これにより、ユーザーが Windows にログオンするたびに、このアドウェアがタスクバーとしてロードされるようにします。
- 次のファイルのいくつかを作成する可能性があります。
- %Windir%\System32car.ico
- %Windir%\System32casino.ico
- %Windir%\System32creditcard.bmp
- %Windir%\System32Go.ico
- %Windir%\System32omniprivacy.khtml
注意: %Windir% は可変で Windows のインストールフォルダを参照します。標準では、このフォルダは C:\Windows または C:\Winnt です。
- 次のレジストリサブキーのうちいくつかを作成する可能性があります。
HKEY_CLASSES_ROOT\BridgeX.Installer
HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand
HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand.1
HKEY_CLASSES_ROOT\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
HKEY_CLASSES_ROOT\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
HKEY_CLASSES_ROOT\CLSID\{14D2CFFE-6656-4BEC-8D9E-DDE6F2D4EAE5}
HKEY_CLASSES_ROOT\CLSID\{C5941EE5-6DFA-11D8-86B0-0002441A9695}
HKEY_CLASSES_ROOT\Interface\{8C505A6B-124B-4768-8FD3-1A066C839848}
HKEY_CLASSES_ROOT\Typelib\{0B3569D7-1EA4-4CBA-AC13-225902619789}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SR 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SA
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
HKEY_LOCAL_MACHINE\Software\microsoft\code store database\distribution units\{15ad4789-cdb4-47e1-a9da-992ee8e6bad6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows SA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
- 次の動作のうちのいくつかを行う可能性があります。
- explorer.exe を再起動し、.dll を IEFrame クラスから継承したすべてのプロセス内にフックする
- Internet Explorer での検索クエリーを、www.blazefind.com へリダイレクトする
- Internet Explorer ブラウザへ、他の Web サイトへのリンクを含む "Main Links" メニューを追加する
- 暗号化されたファイル %Windir%\System32\omniprivacy.khtml 内にリストされている広告を表示する
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
