更新日: December 20, 2007 6:25:05 AM
種別: Adware
リスクインパクト: Medium
影響を受けるシステム: Windows

症状


ファイルが Adware.Conspy として検出されます。

  • Internet Explorer の[favorites(お気に入り)]にブックマークが追加されています。
  • Internet Explorer の検索ページが変更されます。

転送

このアドウェアプログラムは、手動でインストールされます。しかし、いくつかのプログラムが Adware.Conspy を内臓している可能性があり、そのプログラムがインストールされると Adware.Conspy もインストールされます。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン February 01, 2015 リビジョン 020
  • Daily Certified 初回バージョン February 11, 2004
  • Daily Certified 最新バージョン January 26, 2015 リビジョン 023
  • Weekly Certified 初回リリース日 February 11, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.Conspy は、実行されると、次のことを行います。

  1. 自分自身を %Windir% へコピーします。


    注意: %Windir% は可変です。このアドウェアは、Windows インストールフォルダ(デフォルトでは、これは C:\Windows または C:\Winnt です) を探し出し、そのロケーションへ自分自身をコピーします。

  2. 次の値の追加を試みます。
    • "Quicken"="%Windir%\Waol.exe"
    • "Editpad"="%Windir%\Editpad.exe"

      次のレジストリキーへ

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  3. アップデートと構成ファイルをダウンロードするために、サーバー conf.conspy.com へのコンタクトを試みます。
    アクセスする URL には次のものが含まれます。
    • http:/ /conf.conspy.com/quicken_update.php
    • http:/ /conf.conspy.com/winrar_update.php
    • http:/ /conf.conspy.com/popset.php
    • http:/ /conf.conspy.com/waol.exe
    • http:/ /conf.conspy.com/editpad.exe
    • http:/ /conf.conspy.com/editpad.rsf.php
    • http:/ /conf.conspy.com/resource_update.php

  4. サーバーへのコンタクトに失敗した場合は、60 秒待ってから、再度試行します。

  5. editpad.rsf.php の復号から URL を取得します。

  6. Internet Explorer の[Favorites(お気に入り)]へリンクを追加します。これらの URL は、editpad.rsf.php の復号から取得されます。

  7. 次の値を追加します。

    "Search Page" = "<editpad.rsf.php から復号された URL>"

    次のレジストリキーへ

    HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\Main\

  8. 次の値を追加します。

    "Search Bar" = "<editpad.rsf.php から復号された URL> "

    次のレジストリキーへ

    HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\Main\

  9. 次の値を追加します。

    "Start Page" = "<editpad.rsf.php から復号された URL>"

    次のレジストリキーへ

    HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\Main\

  10. 次の値を追加します。

    "SearchURL" = "<editpad.rsf.php から復号された URL>"

    次のレジストリキーへ

    HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\

  11. 次の値を追加します。

    "SearchAssistant" = "<editpad.rsf.php から復号された URL>"

    次のレジストリキーへ

    HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\Search\



駆除方法


以下の手順は、セキュリティリスクに対応したすべてのシマンテックアンチウイルス製品のお客様を対象に記述されています。

  1. 定義を更新します。
  2. システム全体のスキャンを行って、Adware.IEDriver として検出されたファイルをすべて削除します。
  3. レジストリに追加された値を削除します。
具体的な手順については、以下のセクションをご覧ください。

1. 定義を更新する
最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを起動し、LiveUpdate を実行します。

2. ファイルをスキャンして削除する
  1. シマンテックアンチウイルスプログラムを起動して、システム全体のスキャンを行います。
  2. ファイルが Adware.IEDriver として検出された場合は、[Delete(削除)]をクリックします。


    注意: シマンテックアンチウイルス製品が検出したファイルを削除できないとレポートした場合は、そのファイル名とパスを書き留めておきます。次に、Windows Explorer を使って該当するファイルを探し出して削除します。

3. レジストリから値を削除する

警告: シマンテックは、レジストリに変更を行う前に、レジストリのバックアップをとっておくことを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを変更してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法 」をお読みください。
  1. [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。 ([Run(ファイル名を指定して実行)]ダイアログボックスが表示されます。)
  2.  regedit と入力します。

    その後[OK]をクリックします。 (レジストリ エディタが開きます。)

  3. 次のキーへ移動します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run

  4. 画面右側で、次の値を削除します。

    "IEDriver"="%System%\IEdriver\Iedriver.exe"

  5. 次のキーへ移動します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall

  6. 次のサブキーを削除します。

    {BC3BBF86-E4EC-4412-9676-8355468B3B05}

  7. 次のキーへ移動します。

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

  8. 画面右側で、次のキーを正しい値に復元します。

    "Search Bar"

    あるいは、正しい値がわからない場合は、この値を削除します。

  9. レジストリ エディタを終了します。