Aggiornato: February 13, 2007 11:38:05 AM
Tipo: Adware
Versione: n/a
Editore: n/a
Impatto del rischio: Medium
Nomi file: Mediatickets.exe
Sistemi operativi minacciati: Windows

Comportamento


Adware.CDT è un programma adware che visualizza le pubblicità, riduce le impostazioni della sicurezza per l'area Siti attendibili di Internet Explorer e tenta di installare in modo fraudolento dei programmi di editing.

Sintomi


Il programma Symantec rileva questa minaccia come Adware.CDT.

Trasmissione


Questo componente adware può essere installato manualmente oppure come componente di un altro programma.

Date protezione antivirus

  • Versione iniziale Rapid Release October 02, 2014 revisione 022
  • Ultima versione Rapid Release April 23, 2018 revisione 018
  • Versione iniziale Daily Certified August 06, 2004
  • Ultima versione Daily Certified April 23, 2018 revisione 024
  • Data rilascio Weekly Certified iniziale August 11, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aggiornato: February 13, 2007 11:38:05 AM
Tipo: Adware
Versione: n/a
Editore: n/a
Impatto del rischio: Medium
Nomi file: Mediatickets.exe
Sistemi operativi minacciati: Windows


Quando viene eseguito, Adware.CDT si comporta nel modo seguente:

  1. Visualizza le pubblicità pop-up.

  2. Aggiunge i seguenti domini nell'area Siti attendibili di Internet Explorer:

    blazefind.com
    clickspring.net
    flingstone.com
    mt-download.com
    my-internet.info
    searchbarcash.com
    searchmeup.cc
    searchmiracle.com
    skoobidoo.com
    slotch.com
    xxxtoolbar.com

    by adding the value:

    "*" = "0x00000002"

    alle chiavi del Registro di sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmeup.cc
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\skoobidoo.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmeup.cc
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\skoobidoo.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com

  3. Aggiunge l'indirizzo IP 69.31.87.223, nell'area Siti attendibili di Internet Explorer, aggiungendo il valore:

    "*" = "0x00000002"
    ":Range" = "69.31.87.223"

    alle chiavi del Registro di sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Internet Settings\ZoneMap\Ranges\Range1

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Internet Settings\ZoneMap\Ranges\Range1

  4. Consente il download di contenuto attivo e di eseguire script ActiveX e attiva i controlli ed i plug-in ActiveX aggiungendo i valori:

    "MinLevel" = "Code Download"
    "Safety Warning Level" = "SucceedSilent"
    "Security_RunActiveXControls" = "0x01000000"
    "Security_RunScripts" = "0x01000000"
    "Trust Warning Level" = "No Security"

    alle chiavi del Registro di sistema:

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

  5. Consente a Internet Explorer di eseguire i componenti .NET indipendemente dal fatto che siano firmati con Authenticode, aggiungendo i valori:

    "2001" = "0x00000000"
    "2004" = "0x00000000"

    alla chiave del Registro di sistema:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings\Zones\2

  6. Tenta di installare in modo fraudolento i seguenti programmi di editing:

    CDT inc.
    MediaTickets
    Integrated Search Technologies

    aggiungendo i valori:

    "ppcimdnnnjbeahepfabjipfginloedkg egckak" = "CDT inc."
    "goicfboogidikkejccmclpieicihhlpo ejemdn" = "MediaTickets"
    "goicfboogidikkejccmclpieicihhlpo bihgbp" = "Integrated Search Technologies"

    alla chiave del Registro di sistema:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\
    Trust Providers\Software Publishing\Trust Database\0


Aggiornato: February 13, 2007 11:38:05 AM
Tipo: Adware
Versione: n/a
Editore: n/a
Impatto del rischio: Medium
Nomi file: Mediatickets.exe
Sistemi operativi minacciati: Windows


Rimozione utilizzando lo strumento di rimozione di Adware.CDT
Symantec Security Response ha sviluppato uno strumento di rimozione per Adware.CDT. Utilizzare per primo lo strumento di rimozione poiché è il metodo più semplice per eliminare questa minaccia.

Lo strumento può essere trovato qui: http://securityresponse.symantec.com/avcenter/FixCDT.exe

L'attuale versione dello strumento è la 1.0.1 ed avrà come data della firma digitale 06/14/2005 11:34 AM PST

Nota:
La data e l'ora visualizzati saranno regolati secondo il fuso orario locale, se il computer non è impostato sul fuso orario del Pacifico.

È stato segnalato che un computer con questo rischio per la sicurezza può avere installati anche altri rischi. Symantec consiglia di attenersi ai passaggi seguenti:

  1. Eseguire lo strumento di rimozione.
  2. Aggiornare le definizioni avviando il programma Symantec ed eseguendo LiveUpdate.
  3. Eseguire una scansione completa del sistema per rilevare tutti gli altri rischi per la sicurezza presenti sul computer.
  4. Se la scansione rileva altri rischi per la sicurezza, cercare gli strumenti di rimozione all'indirizzo http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html.
  5. Se non ci sono strumenti di rimozione per i rischi per la sicurezza rilevati, seguire le istruzioni di rimozione manuale elencate nell'articolo sulla minaccia.

Rimozione manuale

Le istruzioni seguenti riguardano tutti i prodotti antivirus Symantec che rilevano i rischi per la sicurezza.
  1. Aggiornare le definizioni.
  2. Eseguire una scansione completa del sistema.
  3. Eliminare il valore aggiunto dal worm al Registro di sistema.
Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

1. Aggiornare le definizioni
Per ottenere le definizioni più recenti avviare il programma Symantec ed eseguire LiveUpdate.

2. Eseguire la scansione
  1. Avviare il programma antivirus Symantec ed eseguire una scansione completa del sistema.
  2. Se vengono rilevati dei file come Adware.CDT e a seconda della versione di software utilizzata, è possibile visualizzare una o più delle opzioni seguenti:


    Nota: Ciò è valido solo per le versioni di Norton AntiVirus che rilevano i rischi per la sicurezza. Se si esegue una versione di Symantec AntiVirus Corporate Edition che rileva i rischi per la sicurezza e questa rilevazione è stata abilitata, verrà visualizzata una finestra con i risultati della scansione. In caso di domande contattare l'amministratore di rete.
    • Escludi (non consigliato): Facendo clic su questo pulsante la minaccia viene configurata in modo da non essere più rilevabile. Ciò significa che il programma antivirus non rileverà il rischio per la sicurezza presente nel computer né lo rimuoverà.

    • Ignora o Salta: Scegliendo questa opzione il dispositivo di scansione ignora la minaccia solo per la scansione corrente. Questa sarà rilevata la prossima volta che si esegue una scansione.

    • Annulla: Si tratta di una nuova opzione di Norton AntiVirus 2005. Viene utilizzata quando Norton AntiVirus 2005 non è in grado di eliminare un rischio per la sicurezza. Con l'opzione Annulla il programma di scansione ignora la minaccia solo per la scansione corrente ma questa sarà rilevata alla prossima scansione.

      Per eliminare effettivamente il rischio per la sicurezza:
      • Fare clic su nome del file (sotto la colonna del nome file).
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

        Se Windows segnala che non è possibile eliminare il file significa che questo è in uso. In questo caso completare le rimanenti istruzioni della pagina, riavviare il computer in modalità provvisoria, quindi eliminare il file mediante Esplora risorse.

    • Elimina: Questa opzione tenterà di eliminare i file rilevati. In alcuni casi, il programma di scansione non sarà in grado di farlo.
      • Se viene visualizzato il messaggio, "Eliminazione non riuscita" (o un messaggio simile), eliminare il file manualmente.
      • Fare clic sul nome della minaccia che si trova sotto la colonna Nome file.
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

        Se Windows segnala che non è possibile eliminare il file significa che questo è in uso. In questo caso completare le rimanenti istruzioni della pagina, riavviare il computer in modalità provvisoria, quindi eliminare il file mediante Esplora risorse.


3. Rimuovere i valori dal Registro di sistema

Importante:
Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le chiavi specificate. Leggere il documento, " Come eseguire il backup del registro di sistema di Windows ", per istruzioni.

  1. Fare clic su Start > Esegui.
  2. Digitare  regedit

    Fare clic su OK.

  3. Andare alle chiavi seguenti ed eliminarle:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmeup.cc
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\skoobidoo.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmeup.cc
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\skoobidoo.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1

  4. Individuare la chiave:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0

  5. Eliminare i seguenti valori nel riquadro a destra:

    " ppcimdnnnjbeahepfabjipfginloedkg egckak" = "CDT inc."
    "goicfboogidikkejccmclpieicihhlpo ejemdn" = "MediaTickets"
    "goicfboogidikkejccmclpieicihhlpo bihgbp" = "Integrated Search Technologies"

  6. Individuare la chiave:

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

  7. Eliminare i seguenti valori nel riquadro a destra:

    "MinLevel" = "Code Download"
    "Safety Warning Level" = "SucceedSilent"
    "Security_RunActiveXControls" = "0x01000000"
    "Security_RunScripts" = "0x01000000"
    "Trust Warning Level" = "No Security"

  8. Individuare la chiave:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2

  9. Eliminare i seguenti valori nel riquadro a destra:

    "2001" = "0x00000000"
    "2004" = "0x00000000"

  10. Uscire dall'Editor del Registro di sistema.