更新日: March 12, 2007 8:22:15 AM
種別: Adware
リスクインパクト: Medium
影響を受けるシステム: Windows

症状

ファイルが Adware.TargetSaver と表示されます。

転送

このアドウェアは手動でインストールされます。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン July 11, 2019 リビジョン 005
  • Daily Certified 初回バージョン December 15, 2004
  • Daily Certified 最新バージョン July 11, 2019 リビジョン 006
  • Weekly Certified 初回リリース日 December 15, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.TargetSaver は、実行されると次のことを行います。

  1. 次のフォルダのうち 1 つまたは複数を作成する可能性があります。

    • %Program Files%\Common Files\tsa
    • %Program Files%\Common Files\tsa\rainbow
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]d
    • %Windir%\[ランダムな 4 文字の名前]

      注意:
    • %ProgramFiles% は可変でプログラムファイルフォルダを参照します。デフォルトでは、これは C:\Program Files です。
    • %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、これは C:\Windows または C:\Winnt です。

  2. 次のファイルのうちの 1 つまたは複数を作成する可能性があります。

    • %Program Files%\Common Files\tsa\inst.dat
    • %Program Files%\Common Files\tsa\ts2.exel
    • %Program Files%\Common Files\tsa\ts2lock
    • %Program Files%\Common Files\tsa\tsl2.exe
    • %Program Files%\Common Files\tsa\tsm2.exe
    • %Program Files%\Common Files\tsa\tsm2lock
    • %Program Files%\Common Files\tsa\tsm2.exe
    • %Program Files%\Common Files\tsa\tsm2lock
    • %Program Files%\Common Files\tsa\tsp2.exe
    • %Program Files%\Common Files\tsa\tsuninst.exe
    • %Program Files%\Common Files\tsa\wu
    • %Program Files%\Common Files\tsa\rainbow\class-barrel
    • %Program Files%\Common Files\tsa\rainbow\classify.dll
    • %Program Files%\Common Files\tsa\rainbow\vocabulary
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]a.exe
    • %Program Files%\Common Files\[RANDOM FOUR LETTER NAME]\[ランダムな 4 文字の名前]a.lck
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]l.exe
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]l.lck
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]m.exe
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]m.lck
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]p.exe
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]d\class-barrel
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]d\[ランダムな 4 文字の名前]c.dll
    • %Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]d\vocabulary
    • %UserProfile%\Temp\tsupdate_[バージョン番号]_b2.exe
    • %Windir%\[ランダムな 4 文字の名前]\wu
    • %Windir%\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]z.dat
    • %System%\tsuninst.exe

      注意:
    • %UserProfile% は可変でカレントユーザのプロファイルフォルダを参照します。デフォルトでは、これは C:\Documents and Settings\[カレントユーザー] です(Windows NT/2000/XP)。
    • %System% は可変でシステムフォルダを参照します。デフォルトでは、これは C:\Windows\System(Windows 95/98/Me)、C:\Winnt\System32(Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

  3. 次のレジストリサブキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    次の値を追加する可能性があります。

    "Tsa2" = "%Program Files%\Common Files\tsa\tsm2.exe"

    これにより、Windows が起動するたびにこのアドウェアが実行されるようにします。

  4. 次のレジストリサブキーへ

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    次の値のうちの 1 つまたは複数を追加する可能性があります。

    "[ランダムな 4 文字の名前]" = "%Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]m.exe"

    これにより、Windows が起動するたびにこのアドウェアが実行されるようにします。

  5. 次のレジストリサブキーを作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\TSA
    HKEY_LOCAL_MACHINE\SOFTWARE\[ランダムな 4 文字の名前]
    HKEY_CURRENT_USER\SOFTWARE\TSA
    HKEY_CURRENT_USER\SOFTWARE\[ランダムな 4 文字の名前]
    HKEY_LOCAL_MACHINE\SOFTWARE\Uninstall\TSA
    HKEY_LOCAL_MACHINE\SOFTWARE\Uninstall\[ランダムな 4 文字の名前]

  6. リモートサイトからアップデートをダウンロードします。

  7. 開かれているウィンドウで、語彙ファイルに載っている語を監視します。

  8. ポップアップとポップアンダーウィンドウを使って広告を表示します。



駆除方法


注意: このアドウェアは、アンインストーラを含んでいる場合があります。アンインストーラファイルは通常、%Program Files%\Common Files\tsuninst.exe です。Windows Explorer を使って、このファイルが存在するかどうかを確認してください。

  • このファイルが見つからない場合は、下記の手順に従ってください。
  • このファイルが存在する場合は、それをダブルクリックし、プロンプトに従ってください。このアンインストーラが完了したら、下記の手順に従ってこの脅威が削除されたことを確認してください。

以下の手順は、セキュリティリスクに対応したすべてのシ\'83\'7dンテック アンチウイルス製品のお客様を対象に記述されています。
  1. 定義を更新します。
  2. システム全体のスキャンを実行します。
  3. レジストリに追加された値を削除します。
具体的な手順については、以下のセクションをご覧ください。

1. 定義を更新する
最新のウイルス定義を入手するには、シマンテックウイルスプログラムを開始し、 LiveUpdate を実行します。


2. スキャンを実行する
  1. シマンテックアンチウイルスプログラムを開始し、システム全体のスキャンを実行します。
  2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のオプションのうちの 1 つまたはそれ以上が表示される可能性があります。

    注意: これは、セキュリティリスクの検出をサポートする Norton AntiVirus のバージョンにのみ該当します。セキュリティリスクの検出をサポートする Symantec AntiVirus Corporate Edition のバージョンを実行しており、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
    • 除外 (Exclude) (このオプションは推奨しません): このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip): このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

    • キャンセル(Cancel): Norton Antivirus 2005 で新しく追加されたオプションです。Norton Antivirus 2005 がセキュリティリスクを削除できないと判断した場合に使われます。このキャンセル(Cancel)オプションは、スキャナに対してこのリスクをこのスキャンでのみ無視するように指示します。そのため、次回スキャンを実行した際にはこのリスクは再び検出されます。

      実際に脅威を削除するには、次の手順に従ってください。
      • [Filename(ファイル名)] カラムの下からそのファイル名をクリックします。
      • 表示される [Item Information(項目情報)] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows Explorer を使って該当するファイルを探し出して削除します。

        Windows から、選択したファイルを削除できないというメッセージが表示された場合、そのファイルは使用中です。この場合は、このページの残りの手順を最期まで行ってから、「コンピュータをセーフモードで起動し」、その後 Windows Explorer を使ってファイルを削除します。コンピュータを通常モードで再起動します。

    • 削除 (Delete): このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「Delete Failed(削除できませんでした)」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [Filename (ファイル名)] カラムの下にあるこのリスクのファイル名をクリックします。
      • 表示される [Item Information(項目情報)] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows Explorer を使って該当するファイルを探し出して削除します。

        Windows から、選択したファイルを削除できないというメッセージが表示された場合、そのファイルは使用中です。この場合は、このページの残りの手順を最期まで行ってから、「コンピュータをセーフモードで起動し」、その後 Windows Explorer を使ってファイルを削除します。コンピュータを通常モードで再起動します。
重要: シマンテックアンチウイルス製品を起動できない場合、あるいは検出したファイルを削除できないというメッセージが表示された場合、そのリスクを駆除するためにそのリスク実行されるのを阻止する必要がある可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。 コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

3. レジストリから値を削除する
重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。 レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法 」をお読みください。
  1. スタートメニューで[Run(ファイル名を指定して実行)] をクリックします。
  2.  regedit と入力します。

    その後、[OK] をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  3. 次のサブキーへナビゲートします。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. 画面右側で、次の値を削除します。

    "Tsa2" = "%Program Files%\Common Files\tsa\tsm2.exe"

  5. 次のサブキーへナビゲートします。

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  6. 画面右側で、次の値を削除します。

    "[ランダムな 4 文字の名前]" = "%Program Files%\Common Files\[ランダムな 4 文字の名前]\[ランダムな 4 文字の名前]m.exe"

  7. 次のサブキーへナビゲートして、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\TSA
    HKEY_LOCAL_MACHINE\SOFTWARE\[RANDOM FOUR LETTER NAME]
    HKEY_CURRENT_USER\SOFTWARE\TSA
    HKEY_CURRENT_USER\SOFTWARE\[RANDOM FOUR LETTER NAME]
    HKEY_LOCAL_MACHINE\SOFTWARE\Uninstall\TSA
    HKEY_LOCAL_MACHINE\SOFTWARE\Uninstall\[RANDOM FOUR LETTER NAME]

  8. レジストリエディタを終了します。