セキュリティセンター / Adware.180Search

Adware.180Search

ドキュメントを印刷する

更新日: February 13, 2007 11:38:08 AM
種別: Adware
バージョン: n/a
発行者: 180Solutions
リスクインパクト: Medium
ファイル名: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
影響を受けるシステム: Windows

動作


Adware.180Search は、Web ブラウザウィンドウのコンテンツを監視するアドウェアプログラムです。これは、検索またはショッピングのブラウザウィンドウ内で特定のキーワードを見付けると、パートナー Web サイトの Web ページを開きます。またこのプログラムは、Adware.180Solutions に関連したファイルをインストールします。

注意: 2005 年 3 月 10 日またはそれより前の検出では、このアドウェアを Adware.Ncase として検出する可能性があります。


症状


シマンテックのプログラムにより Adware.180Search が検出されます。

転送


このセキュリティリスクは手動でインストールされるか、あるいか他のプログラムのコンポーネントとしてインストールされる可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン November 03, 2019 リビジョン 020
  • Daily Certified 初回バージョン June 16, 2004 リビジョン 003
  • Daily Certified 最新バージョン November 04, 2019 リビジョン 060
  • Weekly Certified 初回リリース日 June 16, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.180Search が実行されると、次のことを行います。

  1. 次のフォルダを作成する可能性があります。

    %Windir%\FLEOK\

    注意:
    %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。
  2. 次のロケーションのうちの 1 か所または複数箇所に、自分自身をインストールします。
    • %ProgramFiles%\180search Assistant\sain.exe
    • %ProgramFiles%\180search Assistant\hsr.dll
    • %ProgramFiles%\180search Assistant\sau.exe
    • %ProgramFiles%\180search Assistant\sau.log
    • %ProgramFiles%\180search Assistant\sau.dll
    • %ProgramFiles%\180search Assistant\sau_[3 つのランダムな文字].dat
    • %ProgramFiles%\180search Assistant\sauau.dat
    • %ProgramFiles%\180search Assistant\sac.exe
    • %ProgramFiles%\180searchassistant\salm.exe
    • %ProgramFiles%\180searchassistant\salmau_update.dat
    • %ProgramFiles%\180searchassistant\salm.dat
    • %ProgramFiles%\180searchassistant\salm_[3 つのランダムな文字].dat
    • %ProgramFiles%\180searchassistant\salm_[3 つのランダムな文字]_update.dat
    • %ProgramFiles%\180searchassistant\sac_[3 つのランダムな文字]_update.dat
    • %ProgramFiles%\180searchassistant\sac_[3 つのランダムな文字].dat
    • %ProgramFiles%\180searchassistant\sackyf.dat
    • %ProgramFiles%\180searchassistant\sacau.dat
    • %Windir%\[ランダムなファイル名].exe
    • %Windir%\salm.exe
    • %Windir%\salm[Random letters].dat
    • %Windir%\salm_gdf.dat
    • %Windir%\salm_kyf.dat
    • %Windir%\salm.log
    • %Temp%\180sainstallernusalm.exe
    • %UserProfile%\Local Settings\Temp\180ax.exe
    • %UserProfile%\Local Settings\Temp\180ax.log
    • %Windir%\ClientInstaller.log

      注意:
    • %ProgramFiles% は可変でプログラムファイルフォルダを参照します。デフォルトでは、このフォルダは C:\Program Files です。
    • %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。
    • %Temp% は可変で Windows テンポラリフォルダを参照します。デフォルトでは、このフォルダは C:\Windows\TEMP (Windows 95/98/Me/XP) または C:\WINNT\Temp (Windows NT/2000) です。
    • %UserProfile% は可変でカレントユーザのプロファイルフォルダを参照します。標準では、このフォルダは C:\Documents and Settings\[カレントユーザ] (Windows NT/2000/XP) です。


  3. 次のファイルを作成する可能性があります。
    • %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\180search Assistant.com.url
    • %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\Uninstall 180search Assistant Instructions.lnk

      注意: %SystemDrive% は可変で Windows がインストールされているドライブを参照します。標準では、このドライブは C ドライブです。


  4. 次のレジストリストリサブキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    次の値を追加する可能性があります。

    "MSBB" = "[ファイルへのパス]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = "[PATH TO FILE]\"salm.exe"
    "180ax" = "%userprofile%\local settings\temp\180ax.exe"
    " [ランダムなファイル名] " = "%Windir%\ [ランダムなファイル名] .exe"

    これにより、Windows が起動されるたびにこのリスクが実行されるようにします。
  5. 次のうちいくつかのレジストリエントリを作成します。

    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sau
  6. 次のレジストリキーへ

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

    次の値を追加する可能性があります。

    "LoginSessionDisable" = "1"

    これにより、このリスクがシステムに自動的に ISP へダイヤルさせるのを防ぎます。

  7. Web ブラウザウィンドウのコンテンツを監視します。Web の検索またはショッピングのブラウザウィンドウで特定のキーワード (構成可能) が検出されると、このアドウェアはパートナーサイトの Web ページを表示します。収集される情報には、次のものが含まれます。
    • Web ブラウザに入力された語
    • 語が入力された Web サイトのアドレス
    • オペレーティングシステムのバージョン (サービスパックを含む)
    • 使用された Web ブラウザ (正確なバージョン番号を含む)
    • スクリーンの幅および高さ

  8. このアドウェアアプリケーションの状態を監視し、もしこのアドウェアが部分的に削除されると、無くなったコンポーネントを再インストールします。



駆除方法

注意: このアドウェアコンポーネントを削除すると、ほとんどの場合、このコンポーネントをインストールしたアプリケーションは意図どおりに動作しなくなります。通常、アンインストーラには、アンインストール後に動作しなくなるアプリケーションが表示されます。


駆除ツール


Symantec Security Response は、Adware.180Search を駆除するための駆除ツールを開発しました。この脅威を最も容易に駆除する方法は、このツールを実行することです。

このツールは次から入手できます。 http://securityresponse.symantec.com/avcenter/Fix180Sh.exe

このツールの現在のバージョンは、1.0.5 で、デジタル署名のタイムスタンプは 2005 年 2 月 14 日 3:31PM PST です。 .
注意: ご使用のコンピューターが太平洋時間帯に設定されていない場合は、表示される日付と時刻はユーザーのタイムゾーンに調節されます。

Adware.180Search がインストールされているコンピュータには、他のセキュリティリスクもインストールされている可能性があると報告されています。シマンテックでは、次のステップを実行することを推奨します。
    1. Adware.180Search 駆除ツールを適用します。
    2. シマンテックのプログラムを開始し、LiveUpdate を実行することによって、定義を更新します。
    3. コンピューター上の他のセキュリティリスクを検出するために、システム全体のスキャンを実行します。
    4. このスキャンで他のセキュリティリスクが検出された場合は、http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html で駆除ツールをチェックしてください。
    5. 検出されたセキュリティリスクに対する駆除ツールが無い場合は、その脅威のレポートに記載されている手動での駆除手順に従ってください。


手動による駆除
以下の手順は、セキュリティリスクに対応したすべてのシマンテック アンチウイルス製品のお客様を対象に記述されています。
  1. ウイルス定義を最新版に更新します。
  2. [Add/Remove (アプリケーションの追加と削除)] または [Add/Remove (プログラムの追加と削除)] プログラムユーティリティを使用して Adware.180Search をアンインストールします。
  3. システム全体のスキャンを実行し、Adware.180Search として検出されたファイルをすべて削除します。
  4. レジストリに追加されたすべての価を削除します。
具体的な手順については、以下のセクションをご覧ください。


1. ウイルス定義を更新する
最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを開き LiveUpdate を実行します。


2. セキュリティリスクをアンインストールする
このセキュリティリスクにはアンインストールアプレットが含まれています。このセキュリティリスクをアンインストールするには、次の手順を実行してください。
  1. [スタート] - [設定] - [コントロール パネル] または [スタート] - [コントロール パネル] をクリックします (オペレーティングシステムによって異なります)。
  2. コントロール パネルウィンドウで、[アプリケーションの追加と削除] をダブルクリックします。

    Windows Me のみ[アプリケーションの追加と削除] アイコンが見つからないときは、[すべてのコントロール パネルのオプションを表示する] をクリックします。
  3. 180Search assistant をクリックします。

    注意: リストにすべての項目が表示されていない場合は、スクロールバーを使用してください。
  4. お使いのオペレーティングシステムによって名称は異なりますが、[追加と削除]、[変更と削除]、または [削除] をクリックします。以降は、表示されるメッセージに従ってください。

    注意: [追加と削除] プログラムアプレットを実行後、すべてのファイルが削除されている可能性があります。これに該当するかどうかを確認するには、フルシステムスキャンを実行することができます。しかし、[追加と削除] プログラムの使用後は、ファイルは 1 つも検出されない可能性があります。


 3. スキャンを実行する
  1. シマンテックアンチウイルスプログラムを開き、システム全体のスキャンを実行します。
  2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のうち 1 つ以上のオプションが表示されます。

    注意: このオプションは、セキュリティリスクに対応したバージョンの Norton AntiVirus 製品でのみ表示されます。セキュリティリスクに対応した Symantec AntiVirus Corporate Edition で、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
    • 除外 (Exclude) (このオプションは推奨しません):このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip):このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。
    • キャンセル(Cancel):Norton AntiVirus 2005 で新しく追加されたオプションです。セキュリティリスクを削除できないと判断された場合に表示されます。このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

      実際に脅威を削除するには、次の手順に従ってください。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。

    • 削除 (Delete): このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。

警告: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法 " をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)

この時点でリスクが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

 タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除する
警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。

  1. [スタート] - [ファイル名を指定して実行] をクリックします。
  2. regedit と入力します。

    その後、[    OK] をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを作成しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
  3. 次のキーを選択します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. 画面右側で、次の値を削除します。

    "MSBB" = "[ファイルへのパス]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = Path to "salm.exe"
    "180ax" = "%userprofile%\local settings\temp\180ax.exe"
    "[ランダムなファイル名]" = "%Windir%\[ランダムなファイル名].exe"
  5. 次のレジストリサブキーへナビゲートします。

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control
  6. 画面右側で、次の値を設定します。

    "LoginSessionDisable" = "0"
  7. 次のサブキーを選択して削除します。

    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sau
  8. レジストリエディタを終了します。