更新日: July 03, 2007 5:58:22 AM
種別: Adware
発行者: Outerinfo; outerinfo.com
リスクインパクト: Medium
影響を受けるシステム: Windows

動作

Adware.PurityScan は、コンピュータ上に広告をダウンロードして表示する、アドウェアプログラムです。

注意: 2005 年 4 月 6 日より前の定義では、このセキュリティリスクを Adware.Purityscan.B、Adware.Purityscan.C、 または Adware.Purityscan.D として検出する可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン August 17, 2019 リビジョン 016
  • Daily Certified 初回バージョン September 05, 2003 リビジョン 041
  • Daily Certified 最新バージョン August 08, 2019 リビジョン 001
  • Weekly Certified 初回リリース日 September 10, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

Adware.PurityScan は自分自身をアップデートする機能を持つため、この情報はリリースされるこのアドウェアの新しいバージョンの変化に依存します。

Adware.PurityScan は、実行されると、自分自身を次のロケーションへ追加します。
%UserProfile%\Start Menu\Programs\Purity Scan

次にこのプログラムは、次のファイルを作成する可能性があります(1 つ目または 2 つ目(またはその両方)の文字は疑問符(?)に置き換えられる可能性があります)。

  • %System%\wnsinttr.exe
  • %System%\wnscpit.exe
  • %System%\Microsoft.NET.exe
  • %System%\Drivers.exe
  • %System%\WinSxS.exe
  • %System%\Tasks.exe
  • %System%\system32.exe
  • %System%\system.exe
  • %System%\symbols.exe
  • %System%\security.exe
  • %System%\java.exe
  • %System%\Help.exe
  • %System%\Fonts.exe
  • %System%\assembly.exe
  • %System%\AppPatch.exe
  • %System%\regsvr32.exe
  • %System%\regedit.exe
  • %System%\tracert.exe
  • %System%\nslookup.exe
  • %System%\arpa.exe
  • %System%\ping.exe
  • %System%\mshta.exe
  • %System%\nopdb.exe
  • %System%\winword.exe
  • %System%\ati2evxx.exe
  • %System%\spool32.exe
  • %System%\msconfig.exe
  • %System%\userinit.exe
  • %System%\netdde.exe
  • %System%\mmc.exe
  • %System%\scanregw.exe
  • %System%\wucrtupd.exe
  • %System%\wuauboot.exe
  • %System%\wuauclt.exe
  • %System%\wuaclt.exe
  • %System%\rundll.exe
  • %System%\fast.exe
  • %System%\alg.exe
  • %System%\cmd.exe
  • %System%\dexplore.exe
  • %System%\iexplore.exe
  • %System%\notepad.exe
  • %System%\msdtc.exe
  • %System%\javaw.exe
  • %System%\ntvdm.exe
  • %System%\wowexec.exe
  • %System%\winspool.exe
  • %System%\taskmgr.exe
  • %System%\rundll32.exe
  • %System%\msiexec.exe
  • %System%\logonui.exe
  • %System%\dvdplay.exe
  • %System%\dllhost.exe
  • %System%\chkdsk.exe
  • %System%\chkntfs.exe
  • %System%\attrib.exe
  • %System%\winlogon.exe
  • %System%\spoolsv.exe
  • %System%\smss.exe
  • %System%\services.exe
  • %System%\lsass.exe
  • %System%\csrss.exe
  • %System%\svchost.exe
  • %System%\explorer.exe


次にこのプログラムは、次のレジストリエントリのうちの 1 つまたは複数を作成して、Windows が起動されるときにこれが実行されるようにする可能性があります。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"

上記のレジストリエントリで、[文字] は可変の文字で、 PuritySCAN の異なるバージョンによって変わります。私達が見たサンプルでは通常、アップデートされたバージョンをインストールする前に古いバージョンを削除していました。

その後このプログラムは、次のレジストリサブキーを作成します。
HKEY_CURRENT_USER\software\purityscan
HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
HKEY_USERS\.DEFAULT\Software\Ttee
HKEY_CURRENT_USER\Software\Toos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
HKEY_CURRENT_USER\Software\Aubt

その後、次のファイルのうちのいくつかまたはすべてを作成する可能性があります。
  • %Program Files%\PurityScan\PuritySCAN.exe
  • %ProgramFiles%\PurityScan\PuritySCANUninstall.exe
  • %System%\Winserv[文字].exe
  • %System%\Winservn.exeps_uninstaller.exe
  • %CurrentFolder%\Rs.exe
  • %Windir%\Application\Data\Wbta.exe
  • %SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe
  • %SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe
  • %SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rbap.exe
  • %SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe


このプログラムは、次のフォルダを作成する可能性があります。
%UserProfile%\Application Data\ilas

その後、デスクトップ上にこのリスクへのショートカットを作成します。

次にこのプログラムは、clickspring.net ドメイン上のリモートサーバーへコンタクトします。このアドウェアはこの後、システム情報およびインストールのステータスをこのサーバーへ登録し、インストールすべきソフトウェアのアップデートをチェックします。

またこれは、ブラウザファイル、キャッシュ、履歴、Cookie を含む Internet Explorer のファイルをスキャンして、アダルト関連のキーワードを探します。その後、広告を表示します。

このプログラムは、次のドメイン上の Web サイトから広告をダウンロードして表示します。

  • fp.clickspring.net
  • www.clickspring.net
  • legend.psdtools.com
  • pisces.clickspring.com
  • app.whenu.com


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテックアンチウイルス製品のお客様を対象にして記述されています。

  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加された値を削除します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする(Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE 内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細と別の無効化方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使用して入手する方法:

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。


  • Intelligent Updater を使用して入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお勧めします。Intelligent Updater のウイルス定義ファイルはこちら からダウンロードすることができます。 ダウンロード、インストールする方法に関しては、こちら をご参照ください。

3. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。

    個人のお客様向け Norton AntiVirus 製品をお使いの場合(パッケージ製品): 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法

    企業・法人のお客様向け Symantec AntiVirus 製品をお使いの場合(ライセンス製品): 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法.


  2. システム全体のスキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。
重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。
ファイルの削除後、コンピュータを通常モードで再起動してから、次のセクションに進んでください。

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK]をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除する
警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法 」をお読みください。
  1. [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。
  2. regedit と入力します。
  3. その後、[OK]をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  4. 次のレジストリエントリへ移動して削除します。

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"

  5. 次のレジストリサブキーへ移動して、削除します。

    HKEY_CURRENT_USER\software\purityscan
    HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
    HKEY_USERS\.DEFAULT\Software\Ttee
    HKEY_CURRENT_USER\Software\Toos
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
    HKEY_CURRENT_USER\Software\Aubt

  6. レジストリエディタを終了します。