更新日: February 13, 2007 11:52:54 AM
種別: Adware
バージョン: n/a
発行者: n/a
リスクインパクト: High
影響を受けるシステム: Windows

動作


Adware.Roogoo は、ネットワークトラフィックを監視する Layered Service Provider をインストールするアドウェアです。このリスクは、Google の検索語を、そのコントロールしているドメインへレポートし、またポップアップ広告を表示する可能性もあります。

症状


シマンテックのプログラムにより、Adware.Roogoo が検出されます。

転送


Adware.Roogoo は手動でインストールされます。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン September 21, 2019 リビジョン 018
  • Daily Certified 初回バージョン June 26, 2006 リビジョン 002
  • Daily Certified 最新バージョン August 14, 2019 リビジョン 003
  • Weekly Certified 初回リリース日 June 28, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.Roogoo が実行されると、次のことを行います。

  1. 次のファイルのいずれかを作成します。

    • %System%\msplus.dll
    • %System%\msplus1.dll
    • %System%\msplus2.dll
    • %System%\msplus3.dll
    • %System%\msplus4.dll


      注意: %System% は可変でシステムフォルダを参照します。デフォルトでは、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

  2. 次のレジストリサブキーを作成して移植します。

    HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
    HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
    HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
    HKEY_CLASSES_ROOT\Adplus.XLink
    HKEY_CLASSES_ROOT\Adplus.XLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo


  3. 次のレジストリサブキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

    次の値を追加します。


    "FROMID" = "roogoo"

  4. 次のレジストリサブキー内の

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

    次の値を変更します。


    "2102" = "0"

    これにより、Internet Explorer でのポップアップウィンドウに対する特定の制限を取り除くようにします。

  5. 次の特徴を持った正規のサービスを作成します。

    サービス名: WS2IFSL
    表示名: Windows Socket 2.0 Non-IFS Service Provider Support Environment
    実行ファイルへのパス: %System%\System32\drivers\ws2ifsl.sys
    スタートアップのタイプ: System

  6. 標的のコンピュータから発せられるネットワークトラフィックを監視するために LSP をインストールし、Google の検索語を次のドメインへレポートします。

    roogoo.com

  7. ポップアップ広告を表示する可能性があります。



駆除方法


以下の手順は、セキュリティリスクに対応したすべてのシマンテック アンチウイルス製品のお客様を対象に記述されています。

  1. ウイルス定義を最新版に更新します。
  2. システム全体のスキャンを実行します。
  3. レジストリに追加されたすべての価を削除します。
  4. TCP/IP プロトコルを再インストールします。
具体的な手順については、以下のセクションをご覧ください。

1. ウイルス定義を更新する


最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを開き LiveUpdate を実行します。


2. スキャンを実行する

  1. シマンテックアンチウイルスプログラムを開き、システム全体のスキャンを実行します。

  2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のうち 1 つ以上のオプションが表示されます。


    注意: このオプションは、セキュリティリスクに対応したバージョンの Norton AntiVirus 製品でのみ表示されます。セキュリティリスクに対応した Symantec AntiVirus Corporate Edition で、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。

    • 除外 (Exclude) (このオプションは推奨しません):このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip):このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

    • キャンセル(Cancel):Norton AntiVirus 2005 で新しく追加されたオプションです。セキュリティリスクを削除できないと判断された場合に表示されます。このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

      実際に脅威を削除するには、次の手順に従ってください。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。

    • 削除 (Delete):このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。


警告: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法 " をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)


この時点でリスクが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.

3. レジストリから値を削除する


警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。
  1. [スタート] - [ファイル名を指定して実行] をクリックします。

  2. regedit と入力します。

    その後、[
    OK] をクリックします。


    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  3. 次のサブキーを選択します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

  4. 画面右側で、次の値を削除します。

    "FROMID" = "roogoo"

  5. 次のサブキーを選択します。

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

  6. 画面右側で、次の値を削除します。

    "2102" = "0"

  7. 次のサブキーを選択して、削除します。

    HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
    HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
    HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
    HKEY_CLASSES_ROOT\Adplus.XLink
    HKEY_CLASSES_ROOT\Adplus.XLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo


  8. レジストリエディタを終了します。


4. TCP/IP プロトコルを再インストールする



警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。

  1. [スタート] > [ファイル名を指定して実行] をクリックします。

  2. regedit と入力します。

  3. [OK] をクリックします。


    注意 :レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response は、この問題を解決するためのツールを開発しました。このツールをダウンロードして実行し、その後駆除を続けてください。

  4. 次のサブキーを選択して、削除します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

  5. レジストリエディタを終了します。

  6. コンピュータを再起動します。

    1. [Start (スタート)] > [Control Panel (コントロールパネル)] > [Network Connections (ネットワーク接続)] > [Local Area Connection (ローカル エリア接続)] をクリックします。
    2. [Properties (プロパティ)] をクリックします。
    3. [Install (インストール)] をクリックします。
    4. [Protocol (プロトコル)] を選択します。
    5. [Add (追加)] をクリックします。
    6. [Have Disk (ディスク使用)] をクリックします。
    7. %Windir%\inf フォルダをブラウズします。
    8. [Open (開く)] をクリックします。
    9. [OK] をクリックします。
    10. [Internet Protocol (TCP/IP) (インターネットプロトコル (TCP/IP))] を選択します。
    11. [OK] をクリックします。
    12. コンピュータを再起動します。