Adware.BargainBuddy

ドキュメントを印刷する

更新日: November 08, 2007 11:09:11 AM
種別: Adware
バージョン: 1.0
発行者: exact Advertising
リスクインパクト: Low
影響を受けるシステム: Windows

動作

Adware.BargainBuddy は、インターネットの使用状況をモニターし、広告を表示します。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン August 12, 2019 リビジョン 020
  • Daily Certified 初回バージョン August 01, 2003
  • Daily Certified 最新バージョン August 13, 2019 リビジョン 002
  • Weekly Certified 初回リリース日 August 06, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

Adware.BargainBuddy は、実行されると、%ProgramFiles%\Bargain Buddy ロケーション内に複数のファイルやフォルダを作成します。

次にこのプログラムは、次のファイルのうちのいくつかまたはすべてを作成する可能性があります。

  • %System%\angelex.exe
  • %System%\instsrv.exe
  • %System%\msexreg.exe
  • %System%\netut80ex.vxd
  • %System%\bbchk.exe
  • %System%\exclean.exe
  • %System%\exdl.exe
  • %System%\exdl0.exe
  • %System%\exdl1.exe
  • %System%\exul.exe
  • %System%\javexulm.vxd
  • %System%\mqexdlm.srg
  • %System%\msbe.dll
  • %System%\msxct.exe
  • %Windir%\bbchk.exe
  • %Windir%\exclean.exe
  • %Windir%\exdl.exe
  • %Windir%\exul.exe
  • %Windir%\msxct.exe
  • %Windir%\msxct1.ini
  • %Windir%\zeta.exe
  • %Windir%\ahcb.exe
  • %Windir%\Prefetch\gcrc.txt
  • %Windir%\msxct1.ini
  • %System%\vx0.nls
  • %System%\vx0x.nls
  • %System%\vx1.nls
  • %System%\vx1x.nls
  • %System%\vx2.nls
  • %System%\vx2x.nls
  • %System%\vx3.nls
  • %System%\vx3x.nls
  • %System%\javex80.vxd
  • %System%\ide21201.vxd
  • %System%\netut80ex[2 つの変数].vxd
  • %System%\psis80ex.ax
  • %System%\mac80ex.idf
  • %System%\trkgif.exe
  • %Windir%\bargain4.exe
  • %Windir%\*MARKETING*.exe
  • %Windir%\Downloaded Program Files\installer_MARKETING1.exe
  • %UserProfile%\Local Settings\Temp\bb.exe


その後このプログラムは、Windows が開始されたときにこのプログラムが実行されるようにするために、次のレジストリエントリを作成する可能性があります。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Bargains" = "%ProgramFiles%\Bargain Buddy\bin\bargains.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"msxct" = "msxct.exe"


また、次のレジストリサブキーも作成します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Bargains
  • HKEY_LOCAL_MACHINE\SOFTWARE\exactUtil
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bargains
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BargainBuddy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{0878B424-1F95-4E26-B5AB-F0D349D89650}
  • HKEY_CLASSES_ROOT\CLSID\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
  • HKEY_CLASSES_ROOT\Interface\C6906A23-4717-4E1F-B6FD-F06EBED14177}
  • HKEY_CLASSES_ROOT\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564EA119}
  • HKEY_CLASSES_ROOT\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516A2A3}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher.1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZESOFT
  • HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_ZESOFT
  • HKEY_LOCAL_MACHINE\SOFTWARE\CashBack
  • HKEY_LOCAL_MACHINE\SOFTWARE\NaviSearch
  • HKEY_LOCAL_MACHINE\SOFTWARE\eXactUtil


このプログラムは、自分自身を Internet Explorer のブラウザヘルパーオブジェクトとしてインストールします。

その後、インターネットの使用状況をモニターします。このリスクは、情報をリモートサーバーへ送信しようと試みると報告されています。

またこのプログラムは、次のドメインから TCP ポート 80 でダウンロードされた広告を表示します。
adp.ikena.com


駆除方法

駆除ツール
Symantec Security Response は、Adware.BargainBuddy のための駆除ツールを開発しました。このリスクを最も容易に駆除する方法は、このツールを使用することなので、まずはこのツールを使ってください。

このツールは、次から入手できます。http://securityresponse.symantec.com/avcenter/FixBargainbuddy.exe

このツールの現在のバージョンは、1.0.4 で、デジタル署名のタイムスタンプは 2005 年 8 月 26 日 05:43:26 AM PDT(太平洋夏時間)です。

注意: ご使用のコンピュータが太平洋標準時刻に設定されていない場合は、表示される日付と時刻はユーザーのタイムゾーンに調節されます。

このセキュリティリスクを持つコンピュータには、他のセキュリティリスクもインストールされている可能性があると報告されています。シマンテックでは、次のステップを実行することを推奨します。

  1. Adware.BargainBuddy 用の駆除ツールを実行します。
  2. 定義を更新します。
  3. コンピュータ上の他のセキュリティリスクを検出するために、システム全体のスキャンを実行します。
  4. スキャンで他のセキュリティリスクが検出された場合は、次のサイトで駆除ツールをチェックしてください。http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html
  5. 検出されたセキュリティリスク用の駆除ツールが存在しない場合は、そのリスクのレポート内の手動での駆除手順に従ってください。

手動による駆除

以下の手順は、セキュリティリスクに対応したすべてのシマンテックアンチウイルス製品のお客様を対象に記述されています。
  1. 定義を更新します。
  2. このセキュリティリスクをアンインストールします。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加された値を削除します。
これらのステップの詳細については、次の手順を参照してください。

1. 定義を更新する
最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを起動し、LiveUpdate を実行します。

2. このセキュリティリスクをアンインストールするには
  1. 次のうちのいずれか 1 つを行ってください。
    1. Windows 98 タスクバーで:
      1. [Start(スタート)]、[Settings(設定)]、[Control Panel(コントロール パネル)]の順にクリックしてください。
      2. [Control Panel(コントロール パネル) ]ウィンドウで、[Add/Remove Programs(アプリケーションの追加と削除 または プログラムの追加と削除)]をダブルクリックします。

    2. Windows Me のタスクバーで:
      1. [Start(スタート)]、[Settings(設定)]、[Control Panel(コントロール パネル)]の順にクリックします。
      2. [Control Panel(コントロール パネル) ]ウィンドウで、[Add/Remove Programs(プログラムの追加と削除 または アプリケーションの追加と削除)]をダブルクリックします。
        [Add/Remove Programs(プログラムの追加と削除 または アプリケーションの追加と削除)]アイコンが見つからないときは、[...view all Control Panel options(すべてのコントロール パネルのオプションを表示する)]をクリックします。

    3. Windows 2000 タスクバーで:
      デフォルトでは、Windows 2000 の設定は Windows 98 と同じです。 Windows 98 の手順に従ってください。デフォルトと異なる場合は、[Start(スタート)]をクリックし、[Settings(設定)]、[Control Panel(コントロール パネル)]の順にポイントし、[Add/Remove Programs(アプリケーションの追加と削除)]をクリックします。

    4. Windows XP のタスクバーで:
      1. [Start(スタート)]、[Control Panel(コントロール パネル)]の順にクリックします。
      2. [Control Panel(コントロール パネル)] ウィンドウ内で、[Add or Remove Programs(プログラムの追加と削除 または アプリケーションの追加と削除)] をダブルクリックします。

  2. The BullsEye Network をクリックします。


    注意:
    リスト全体を閲覧するには、スクロールバーを使う必要がある場合があります。

  3. [Add/Remove(追加と削除)][Change/Remove(変更と削除)]、または[Remove(削除)]をクリックします(これは、オペレーティングシステムによって異なります)。プロンプトに従ってください。

    注意: [Add/Remove(追加と削除)]プログラムアプレットの実行後は、すべてのファイルが削除されている場合があります。これに該当するかを確かめるために、システム全体のスキャンを行いたいかもしれません。しかし、[Add/Remove(追加と削除)]プログラムの使用後は、ファイルは 1 つも検出されない可能性があります。

3. スキャンを実行するには
  1. シマンテックのアンチウイルスプログラムを起動し、システム全体のスキャンを実行します。
  2. ファイルが検出された場合、使っているソフトウェアのバージョンに応じて、次のオプションのうちの 1 つまたはそれ以上が表示される可能性があります。

    注意: これは、セキュリティリスクの検出をサポートする Norton AntiVirus のバージョンにのみ該当します。セキュリティリスクの検出をサポートする Symantec AntiVirus Corporate Edition のバージョンを実行しており、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
    • 除外 (Exclude) (このオプションは推奨しません): このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip): このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

    • キャンセル(Cancel): Norton Antivirus 2005 で新しく追加されたオプションです。Norton Antivirus 2005 がセキュリティリスクを削除できないと判断した場合にこれが使われます。このキャンセル(Cancel)オプションは、スキャナに対して、このスキャンでのみこのリスクを無視するように指示します。そのため、次回スキャンを実行したときは、このリスクが再び検出されます。

      セキュリティリスクを実際に削除するには
      • そのファイル名([Filename(ファイル名)]カラムの下の)をクリックします。
      • 表示される[Item Information(項目情報)ボックスで、ファイル名と完全なパスを書きます。
      • 次に、Windows エクスプローラ を使って該当するファイルを探し出して削除します。

        Windows がそのファイルを削除できないとレポートする場合は、そのファイルが使用中であることを示します。この場合は、このページの残りの手順を最期まで行ってから、「コンピュータをセーフモードで起動し」、その後 Windows Explorer を使ってファイルを削除します。コンピュータを通常モードで再起動します。

    • 削除(Delete): このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [Filename (ファイル名)] カラムの下にあるこのリスクのファイル名をクリックします。
      • 表示される[Item Information(項目情報)ボックスで、ファイル名と完全なパスを書きます。
      • 次に、Windows エクスプローラ を使って該当するファイルを探し出して削除します。

  3. [Start(スタート)]、[Programs(プログラム)]、[Accessories(アクセサリ)]、[Windows Explorer]の順にクリックします。

  4. 次のファイルが存在する場合は、そこへ移動して削除します。

    • %System%\instsrv.exe
    • %System%\angelex.exe
    • %System%\msexreg.exe
    • %System%\netut80ex.vxd
    • %System%\bbchk.exe
    • %System%\exclean.exe
    • %System%\exdl.exe
    • %System%\exdl0.exe
    • %System%\exdl1.exe
    • %System%\exul1.exe
    • %System%\javexulm.vxd
    • %System%\mqexdlm.srg
    • %System%\msxct.exe
    • %Widir%\bbchk.exe
    • %Widir%\exclean.exe
    • %Widir%\exdl.exe
    • %Widir%\exul.exe
    • %Widir%\msbe.dll
    • %Widir%\msxct.exe
    • %Widir%\msxct1.ini
    • %Widir%\zeta.exe

  5. 次のフォルダが存在する場合は、そこへ移動して削除します。

    • %ProgramFiles%\Bargain Buddy

  6. Windows Explorer を終了します。

重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

ファイルの削除後、コンピュータを通常モードで再起動してから、次のセクションに進んでください。

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性がありますが、これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.
    4. レジストリから値を削除する
    警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず 「レジストリのバックアップ方法 」をお読みください。
    1. [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。
    2. regedit と入力します。

      その後、[OK] をクリックします。

      注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response は、この問題を解決するための ツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

    3. 次のサブキーへ移動します。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. 次の値が存在する場合は、画面右側で削除します。

      "Bargains" = "%ProgramFiles%\Bargain Buddy\bin\bargains.exe"
      "BullsEye" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"
      "BullsEye Network" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"
      "msxct" = "msxct.exe"

    5. 次のサブキーを選択して、削除します。

      HKEY_LOCAL_MACHINE\SOFTWARE\Bargains
      HKEY_LOCAL_MACHINE\SOFTWARE\CashBack
      HKEY_LOCAL_MACHINE\SOFTWARE\exactUtil
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CashBack
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bargains
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BargainBuddy
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer
      \Browser Helper Objects\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer
      \Browser Helper Objects\{CE188402-6EE7-4022-8868-AB25173A3E14}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE188402-6EE7-4022-8868-AB25173A3E14}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{C6906A23-4717-4E1F-B6FD-F06EBED12468}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{C6906A23-4717-4E1F-B6FD-F06EBED14177}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{C6906A23-4717-4E1F-B6FD-F06EBED15678}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{8EEE58D5-130E-4CBD-9C83-35A0564E2468}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{8EEE58D5-130E-4CBD-9C83-35A0564E5678}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516E2A3}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516B2C3}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CB.UrlCatcher
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CB.UrlCatcher.1
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZESOFT
      HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_ZESOFT
      HKEY_LOCAL_MACHINE\SOFTWARE\CashBack
      HKEY_LOCAL_MACHINE\SOFTWARE\NaviSearch
      HKEY_LOCAL_MACHINE\SOFTWARE\eXactUtil

    6. レジストリ エディタを終了します。