更新日: March 12, 2007 6:47:15 AM
種別: Adware
リスクインパクト: High
影響を受けるシステム: Windows

症状

シマンテックプログラムが Adware.ESDIexplorr を検出します。 予期しない広告が Internet Explorer のブラウザウィンドウに表示されます。

転送

このセキュリティリスクは、他のプログラムの一部としてインストールされる可能性もあります。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン March 23, 2017 リビジョン 037
  • Daily Certified 初回バージョン June 03, 2005
  • Daily Certified 最新バージョン March 23, 2017 リビジョン 041
  • Weekly Certified 初回リリース日 June 08, 2005

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.ESDIexplorr は、実行されると次のことを行います。

  1. 次のファイルを作成します。

    • %Windir%\iexplorr11.dll
    • %Windir%\iexplorr22.dll
    • %Windir%\iexplorr23.dll
    • %Windir%\iexplorr24.dll
    • %Windir%\WindowsIE.dll
    • %UserProfile%\Local Settings\Temp\Install.exe

      注意:
    • %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、これは C:\Windows または C:\Winnt です。
    • %UserProfile% は可変でカレントユーザのプロファイルフォルダを参照します。デフォルトでは、これは C:\Documents and Settings\[カレントユーザー] です(Windows NT/2000/XP)。

  2. 次のサブキーを作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{39AF31DD-EAFC-45EA-A56C-385B52E25CC0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{4CEBBC6B-5CEE-4644-80CF-38980BAE93F6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{6B12DABB-0B7C-44FA-B0B3-4BAFF3790256}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{BC0D2038-2DE5-4A6F-92BC-B18A3E0DE32A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{2E12B523-3D4C-4FAC-9B04-0376A8F5E879}

    これにより、Internet Explorer が起動されるたびに、このリスクが実行されるようにします。

  3. 次のレジストリサブキーを作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{236826B1-8FDB-4D3C-8F70-E154F874703D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E12B523-3D4C-4FAC-9B04-0376A8F5E879}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39AF31DD-EAFC-45EA-A56C-385B52E25CC0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43E2DBE5-8C8A-4519-9684-8CD7F39A5147}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4CEBBC6B-5CEE-4644-80CF-38980BAE93F6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6B12DABB-0B7C-44FA-B0B3-4BAFF3790256}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A76066C9-941B-4209-9D96-0AC80501100D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC0D2038-2DE5-4A6F-92BC-B18A3E0DE32A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA3609D1-3E96-4726-A17F-30F46AE89726}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB6D8BAA-704A-415B-BC0A-3468BFAE924E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4B191B11-A44C-4D42-B4AC-6FCD5F61587C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{943F44C0-44DA-40D5-98D7-9AAC4C15C603}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0B60CEF5-2431-4F92-82CF-03FEE5BDC762}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{22EB8F60-F99B-4E29-8376-E8BC417148FD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{338F1D89-A419-4C40-96E3-C29C978A7DF6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FB04DE1-4340-4002-9D9E-3B6913AE6953}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B4450075-9717-43B1-BA10-4B9FD7325FD5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CBD7E8BE-0E1E-441D-B133-E26F5636CCCF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E41774F1-63E7-44ED-A03A-FF8422F9AFF0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FC385F81-0109-4FA8-AAD0-53B4A9A5DD2B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D6862A20-1DD6-11D3-BB7C-444553540000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1620D17D-F2B5-43BE-8ED4-6B22E321D2A3}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{22CBCB4C-E9DF-4D25-86BC-FFDA4DF8FC06}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B224AFF4-0561-4B35-A91A-6F339152A482}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D6862A20-1DD6-11D3-BB7C-444553540000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowsIE
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowsIE.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr11.clsDW
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr11.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr22.clsDW
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr22.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr23.clsDW
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr23.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr24.clsDW



  4. 1 つまたは複数の .dll ファイルが Explorer.exe へ挿入されます。その後 Explorer.exe は、ランダムなポートで待機します。

  5. ランダムな時間間隔で、Internet Explorer に広告を表示します。



駆除方法


以下の手順は、セキュリティリスクに対応したすべてのシマンテックアンチウイルス製品のお客様を対象に記述されています。

  1. 定義を更新します。
  2. 開かれている Internet Explorer のウィンドウをすべて閉じます。
  3. .dll ファイルを登録解除します。
  4. システム全体のスキャンを実行します。
  5. レジストリに追加された値を削除します。
具体的な手順については、以下のセクションをご覧ください。

1. 定義を更新する
最新のウイルス定義を入手するには、シマンテックプログラムを開始し LiveUpdate を実行します。

2. 開いている Internet Explorer のウィンドウをすべて閉じる
このトロイの木馬は Microsoft Internet Explorer のプラグインとして動作するため、これを駆除するには開いている Internet Explorer のウィンドウをすべて閉じる必要があります。本項を Internet Explorer を使ってお読みの場合は、ページのトップにある printer-friendly オプションを使って印刷するか、または以下に示す手順を記録してから、Internet Explorer のウインドウをすべて閉じてください。

3. .dll ファイルを登録解除する
  1. スタートメニューで[Run(ファイル名を指定して実行)] をクリックします。

  2. 次のテキストを入力するか、またはコピー & ペーストします。

    regsvr32 /u "%WINDOWS%\iexplorr??.dll"

    その後、[OK] をクリックします。
  3. 確認ダイアログボックスが表示されたら、[OK] をクリックします。

4. スキャンを実行する
  1. シマンテックアンチウイルスプログラムを開始し、システム全体のスキャンを実行します。
  2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のオプションのうちの 1 つまたはそれ以上が表示される可能性があります。

    注意: これは、セキュリティリスクの検出をサポートする Norton AntiVirus のバージョンにのみ当てはまります。セキュリティリスクの検出をサポートする Symantec AntiVirus Corporate Edition のバージョンを実行しており、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
    • 除外 (Exclude) (このオプションは推奨しません): このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip): このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

    • キャンセル(Cancel): Norton Antivirus 2005 で新しく追加されたオプションです。Norton Antivirus 2005 がセキュリティリスクを削除できないと判断した場合にこれが使われます。このキャンセル(Cancel)オプションは、スキャナに対して、このスキャンでのみこのリスクを無視するように指示します。そのため、次回スキャンを実行したときは、このリスクが再び検出されます。

      実際に脅威を削除するには、次の手順に従ってください。
      • [ファイル名(Filename)] カラムの下からそのファイル名をクリックします。
      • 表示される [Item Information(項目情報)] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows Explorer を使って該当するファイルを探し出して削除します。

        Windows Explorer から、選択したファイルを削除できないというメッセージが表示された場合、そのファイルは使用中です。この場合は、このページの残りの手順を最期まで行ってから、「コンピュータをセーフモードで起動し」、その後 Windows Explorer を使ってファイルを削除します。コンピュータを通常モードで再起動します。

    • 削除 (Delete): このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「Delete Failed(削除できませんでした)」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [Filename (ファイル名)] カラムの下にあるこのリスクのファイル名をクリックします。
      • 表示される [Item Information(項目情報)] ボックスに、ファイル名と完全なパスを入力します
      • 次に、Windows Explorer を使って該当するファイルを探し出して削除します。

        Windows Explorer から、選択したファイルを削除できないというメッセージが表示された場合、そのファイルは使用中です。この場合は、このページの残りの手順を最期まで行ってから、「コンピュータをセーフモードで起動し」、その後 Windows Explorer を使ってファイルを削除します。コンピュータを通常モードで再起動します。
重要: シマンテック アンチウイルス製品が感染ファイルを修復または削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

5. レジストリから値を削除する

重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。 レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法 」をお読みください。
  1. スタートメニューで[Run(ファイル名を指定して実行)]をクリックします。
  2.  regedit と入力します。

    その後、[OK] をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  3. 次のサブキーが存在する場合は、そのサブキーへナビゲートして削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{39AF31DD-EAFC-45EA-A56C-385B52E25CC0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{4CEBBC6B-5CEE-4644-80CF-38980BAE93F6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{6B12DABB-0B7C-44FA-B0B3-4BAFF3790256}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{BC0D2038-2DE5-4A6F-92BC-B18A3E0DE32A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{2E12B523-3D4C-4FAC-9B04-0376A8F5E879}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{236826B1-8FDB-4D3C-8F70-E154F874703D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E12B523-3D4C-4FAC-9B04-0376A8F5E879}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39AF31DD-EAFC-45EA-A56C-385B52E25CC0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43E2DBE5-8C8A-4519-9684-8CD7F39A5147}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4CEBBC6B-5CEE-4644-80CF-38980BAE93F6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6B12DABB-0B7C-44FA-B0B3-4BAFF3790256}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A76066C9-941B-4209-9D96-0AC80501100D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC0D2038-2DE5-4A6F-92BC-B18A3E0DE32A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA3609D1-3E96-4726-A17F-30F46AE89726}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB6D8BAA-704A-415B-BC0A-3468BFAE924E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4B191B11-A44C-4D42-B4AC-6FCD5F61587C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{943F44C0-44DA-40D5-98D7-9AAC4C15C603}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0B60CEF5-2431-4F92-82CF-03FEE5BDC762}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{22EB8F60-F99B-4E29-8376-E8BC417148FD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{338F1D89-A419-4C40-96E3-C29C978A7DF6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FB04DE1-4340-4002-9D9E-3B6913AE6953}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B4450075-9717-43B1-BA10-4B9FD7325FD5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CBD7E8BE-0E1E-441D-B133-E26F5636CCCF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E41774F1-63E7-44ED-A03A-FF8422F9AFF0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FC385F81-0109-4FA8-AAD0-53B4A9A5DD2B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D6862A20-1DD6-11D3-BB7C-444553540000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1620D17D-F2B5-43BE-8ED4-6B22E321D2A3}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{22CBCB4C-E9DF-4D25-86BC-FFDA4DF8FC06}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B224AFF4-0561-4B35-A91A-6F339152A482}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D6862A20-1DD6-11D3-BB7C-444553540000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowsIE
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowsIE.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr11.clsDW
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr11.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr22.clsDW
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr22.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr23.clsDW
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr23.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr24.clsDW
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IExplorr24.clsIS
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WindowsIE

  4. レジストリエディタを終了します。