更新日: February 13, 2007 11:52:01 AM
種別: Adware
リスクインパクト: Medium
影響を受けるシステム: Windows

動作


Adware.Netword は、netword.com ドメイン上の Web サイトにコンタクトして広告をトラックする、Internet Explorer のツールバーです。

症状


シマンテックのプログラムが、Adware.Netword を検出します。

転送


Adware.Netword は手動でインストールされます。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン May 07, 2019 リビジョン 006
  • Daily Certified 初回バージョン April 26, 2006
  • Daily Certified 最新バージョン May 07, 2019 リビジョン 008
  • Weekly Certified 初回リリース日 April 26, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.Netword がインストールされると、次のことを行います。

  1. 次のファイルを作成します。

    • %Program Files%\NW Search\iedropper.js
    • %Program Files%\NW Search\nwsearch.dll
    • %Program Files%\NW Search\uninst.exe


      注意:%ProgramFiles% は可変でプログラムファイルフォルダを参照します。デフォルトでは、このフォルダは C:\Program Files です。

  2. 次のレジストリストリサブキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

    次の値を追加します。


    "{A16BC1B1-E582-11d4-8757-005004603000}" = "Netword"

  3. 次のレジストリサブキーを作成します。

    HKEY_CLASSES_ROOT\CLSID\{A16BC1B1-E582-11d4-8757-005004603000}
    HKEY_CLASSES_ROOT\Interface\{6FCCD5A1-8823-476D-B7DE-FEB13D46D9BD}
    HKEY_CLASSES_ROOT\Interface\{A16BC1B2-E582-11D4-8757-005004603000}
    HKEY_CLASSES_ROOT\NWSearch.NWToolBand
    HKEY_CLASSES_ROOT\NWSearch.NWToolBand.1
    HKEY_CLASSES_ROOT\TypeLib\{A16BC1B3-E582-11D4-8757-005004603000}
    HKEY_CURRENT_USER\Software\Netword
    HKEY_LOCAL_MACHINE\SOFTWARE\NetWord Agent
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A16BC1B1-E582-11d4-8757-005004603000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Netword Agent
    HKEY_LOCAL_MACHINE\SOFTWARE\NetWord Agent

  4. 次の検索ページにアクセスされると、netword.com ドメイン上の Web サイトにコンタクトして、広告をトラックします。

    • [http://]aolsearch.aol.com/aol/sea[削除済み]
    • [http://]information.com/search/index[削除済み]
    • [http://]kevdb.infospace.com/home/white-pages/ke[削除済み]
    • [http://]maps.infospace.com/home/kev[削除済み]
    • [http://]msxml.infospace.com/home/search/w[削除済み]
    • [http://]mysearch.myway.com/j[削除済み]
    • [http://]sbgw.search.aol.com/kw/ex[削除済み]
    • [http://]search.aol.com/aolcom/sea[削除済み]
    • [http://]search.aol.com/dirsea[削除済み]
    • [http://]search.ebay.com/search/searc[削除済み]
    • [http://]search.lycos.com/defau[削除済み]
    • [http://]search.msn.com/resul[削除済み]
    • [http://]search.msn.com/result[削除済み]
    • [http://]search.netscape.com/ns/sea[削除済み]
    • [http://]search.netscape.com/nscp_res[削除済み]
    • [http://]search.yahoo.com/bin/sea[削除済み]
    • [http://]search.yahoo.com/sea[削除済み]
    • [http://]shopping.yahoo.com/sea[削除済み]
    • [http://]web.ask.com/w[削除済み]
    • [http://]www.altavista.com/web/res[削除済み]
    • [http://]www.amazon.com/exec/obidos/search-ha[削除済み]
    • [http://]www.google.com/sea[削除済み]
    • [http://]www.highbeam.com/library/searc[削除済み]
    • [http://]www.information.com/search/index[削除済み]
    • [http://]www.infospace.com/home/white-pages/messa[削除済み]
    • [http://]www.looksmart.com/r_se[削除済み]
    • [http://]www.websearch.com/search/result[削除済み]
    • [http://]yp.netscape.com/main[削除済み]
    • [http://]ypng.infospace.com/home/yellow-pages/redi[削除済み]


    駆除方法



    以下の手順は、セキュリティリスクに対応したすべてのシマンテック アンチウイルス製品のお客様を対象に記述されています。

    1. ウイルス定義を最新版に更新します。
    2. システム全体のスキャンを実行します。
    3. レジストリに追加されたすべての価を削除します。
    具体的な手順については、以下のセクションをご覧ください。

    1. ウイルス定義を更新する


    最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを開き LiveUpdate を実行します。


    2. スキャンを実行する

    1. シマンテックアンチウイルスプログラムを開き、システム全体のスキャンを実行します。

    2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のうち 1 つ以上のオプションが表示されます。


      注意: このオプションは、セキュリティリスクに対応したバージョンの Norton AntiVirus 製品でのみ表示されます。セキュリティリスクに対応した Symantec AntiVirus Corporate Edition で、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
      • 除外 (Exclude) (このオプションは推奨しません):このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

      • 無視またはスキップ (Ignore or Skip):このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

      • キャンセル(Cancel):Norton AntiVirus 2005 で新しく追加されたオプションです。セキュリティリスクを削除できないと判断された場合に表示されます。このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

        実際に脅威を削除するには、次の手順に従ってください。
        • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
        • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
        • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。

      • 削除 (Delete):このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
        • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
        • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
        • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
        • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。


    警告: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法 " をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

    (ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)



    この時点でリスクが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

    タイトル: [ファイルパス]
    本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.

    3. レジストリから値を削除する


    警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。
    1. [スタート] - [ファイル名を指定して実行] をクリックします。

    2. regedit と入力します。

      その後、[
      OK] をクリックします。


      注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

    3. 次のサブキーを選択します。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

    4. 画面右側で、次の値を削除します。

      "{A16BC1B1-E582-11d4-8757-005004603000}" = "Netword"

    5. レジストリエディタを終了します。