更新日: May 27, 2010 5:16:13 AM
種別: Adware
リスクインパクト: High
影響を受けるシステム: Windows

動作

Adware.Kuaiso は、Internet Explorer ツールバーをインストールし、Internet Explorer スタートページと検索ページを改ざんするアドウェアプログラムです。また、toolsbar.kuaiso.com ドメインに接続して広告を表示します。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン July 21, 2019 リビジョン 005
  • Daily Certified 初回バージョン July 25, 2006
  • Daily Certified 最新バージョン July 21, 2019 リビジョン 020
  • Weekly Certified 初回リリース日 July 26, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

Adware.Kuaiso は、Internet Explorer ツールバーをインストールし、Internet Explorer スタートページと検索ページを改ざんするアドウェアプログラムです。また、toolsbar.kuaiso.com ドメインに接続して広告を表示します。

このセキュリティリスクは、通常インターネットからダウンロードされるか、あるいは他の脅威により投下されます。

このリスクがインストールされると、次のファイルを作成します。

  • %ProgramFiles%\Kuaiso Toolsbar\+.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\-.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\basis.xml
  • %ProgramFiles%\Kuaiso Toolsbar\block.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\clean.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\film.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\find.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\hezuo.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\hightlightt.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\home.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\icons.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\kuaiso_06040.crc
  • %ProgramFiles%\Kuaiso Toolsbar\kuaiso_06040.dll
  • %ProgramFiles%\Kuaiso Toolsbar\lianmeng.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\msvcp60.dll
  • %ProgramFiles%\Kuaiso Toolsbar\msvcrt.dll
  • %ProgramFiles%\Kuaiso Toolsbar\newversion.txt
  • %ProgramFiles%\Kuaiso Toolsbar\ring.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\shengji.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\shoucang.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\standard_icons.bmp
  • %ProgramFiles%\Kuaiso Toolsbar\version.txt


続いて、次のレジストリエントリを改ざんし、Internet Explore ホームページと検索ページを変更します。
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Search Bar" = "http://toolsbar.kuaiso.com/search.html"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Search Page" = "http://toolsbar.kuaiso.com/search.html"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"SearchAssistant" = "http://toolsbar.kuaiso.com/search.html"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://toolsbar.kuaiso.com/index.htm"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Use Search Asst" = "No"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\"{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}" = ""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\"SearchAssistant" = "http://toolsbar.kuaiso.com/search.html"


また、このリスクは次のレジストリサブキーを作成します。
  • HKEY_CLASSES_ROOT\CLSID\{6029B367-250A-4696-925C-641709CA7381}
  • HKEY_CLASSES_ROOT\CLSID\{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}
  • HKEY_CLASSES_ROOT\ToolBand.XBTP03129
  • HKEY_CLASSES_ROOT\ToolBand.XBTP03129.1
  • HKEY_CLASSES_ROOT\TypeLib\{55A0B315-0920-4DC0-A9D7-46770E24816B}
  • HKEY_CLASSES_ROOT\XBTB03129.IEToolbar
  • HKEY_CLASSES_ROOT\XBTB03129.IEToolbar.1
  • HKEY_CLASSES_ROOT\XBTB03129.XBTB03129
  • HKEY_CLASSES_ROOT\XBTB03129.XBTB03129.1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XBTB03129.XBTB03129Toolbar
  • HKEY_CURRENT_USER\Software\XBTB03129
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6029B367-250A-4696-925C-641709CA7381}
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{01E04581-4EEE-11D0-BFE9-00AA005B4383}
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}


続いて、次のレジストリサブキーを削除します。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}

その後 toolsbar.kuaiso.com ドメインに接続して広告を表示します。


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のシマンテック製ウイルス対策製品をご利用のすべてのお客様を対象に記述されています。

  1. システムの復元機能を無効にする (Windows Me、XP)
  2. ウイルス定義を最新版に更新する
  3. システムの完全スキャンを実行する
  4. レジストリに追加された値を削除する

各手順の詳細については、次を参照してください。

1. システムの復元機能を無効にする (Windows Me/XP)
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由から、ウイルス対策プログラムおよび駆除ツールによるシステムの復元フォルダの感染ファイルの削除は不可能です。他のあらゆる場所で感染ファイルを削除した場合でも、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、脅威が駆除された後でも、ウイルススキャンによってシステムの復元フォルダに脅威が検出されることがあります。

システムの復元機能を無効にする方法については、お手持ちの Windows のマニュアルまたは次の文書を参照してください。

注意: 駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

追加の情報および Windows Me システムの復元機能の無効化以外の解決方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義を最新版に更新する
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済みです。最新版のウイルス定義ファイルは、次の 2 つの方法で入手できます。
  • LiveUpdate を実行すると、簡単にウイルス定義ファイルを入手できます。

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上の製品をご利用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品は、より新しいテクノロジーを搭載しています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご利用の場合は、LiveUpdate の定義は毎週更新されます。重大なアウトブレークの発生時には、例外として定義がより頻繁に更新されます。


  • Intelligent Updater を使ってウイルス定義ファイルをダウンロードします。Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することにより、ご使用のコンピュータのウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日更新され、LiveUpdate よりも早いタイミングで更新されます。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。ファイルサイズは、前回からの差分のみをダウンロードする LiveUpdate と比較して大型です。このため、LiveUpdate で定期的にウイルス定義ファイルを更新し、疑わしいファイルからウイルスを検知しないなどの場合には、Intelligent Updater を利用することを推奨します。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロード可能です。手順の詳細は、「IntelligentUpdater を使ってウイルス定義ファイルを更新する方法 」を参照してください。

3. システムの完全スキャンを実行する
  1. シマンテック製ウイルス対策プログラムを起動して、すべてのファイルをスキャン対象に設定しているかどうかを確認します。

    個人のお客様向けの Norton AntiVirus 製品をご利用の場合(パッケージ製品): 次の文書を参照してください。「すべてのファイルをウイルススキャンするように設定する方法

    企業、法人のお客様向けの Symantec AntiVirus 製品をご利用の場合(ライセンス製品): 次の文書を参照してください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システムの完全スキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご利用のウイルス対策プログラムが表示する手順に従ってください。
重要: ご利用のシマンテック製ウイルス対策製品が起動しない、または検出ファイルの削除が不可能であると報告するメッセージが表示される場合には、実行中のリスクを停止してから削除する必要がある場合があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」を参照してください。コンピュータをセーフモードで再起動した後、スキャンを再度実行します。
ファイルが削除された後、コンピュータを通常モードで再起動してから、次のセクションに進みます。

この時点では、脅威の除去が完了していない可能性があるため、再起動時に警告メッセージが表示される可能性があります。その場合、メッセージを無視して [OK] をクリックしてください。駆除作業を完了した後、コンピュータを再起動すると、それらの警告メッセージは表示されなくなります。メッセージが表示される場合は、次のような内容です。

タイトル: [ファイルパス]
メッセージ本文: [ファイル名] が見つかりません。名前を正しく入力したかどうか確認してからやり直してください。ファイルを検索するには、[スタート] ボタンをクリックしてから、[検索] をクリックしてください。

4. レジストリに追加された値を削除する
重要: システムレジストリを変更するときは、事前にバックアップを作成しておくことを強く推奨します。レジストリへの不適切な変更は、データ消失やファイル破損など修復不可能な問題を引き起こす可能性があります。指定されたサブキーだけを修正してください。作業を開始する前に、必ず「レジストリのバックアップ方法 」を参照してください。
  1. [スタート]、[ファイル名を指定して実行]の順にクリックします。
  2. regedit と入力します。
  3. [OK] をクリックします。

    注意: レジストリエディタが開かない場合、この脅威がレジストリを改ざんしてレジストリエディタへのアクセスを阻止している可能性があります。セキュリティレスポンスは、この問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行します。

  4. 次のレジストリサブキーに移動して削除します。

    • HKEY_CLASSES_ROOT\CLSID\{6029B367-250A-4696-925C-641709CA7381}
    • HKEY_CLASSES_ROOT\CLSID\{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}
    • HKEY_CLASSES_ROOT\ToolBand.XBTP03129
    • HKEY_CLASSES_ROOT\ToolBand.XBTP03129.1
    • HKEY_CLASSES_ROOT\TypeLib\{55A0B315-0920-4DC0-A9D7-46770E24816B}
    • HKEY_CLASSES_ROOT\XBTB03129.IEToolbar
    • HKEY_CLASSES_ROOT\XBTB03129.IEToolbar.1
    • HKEY_CLASSES_ROOT\XBTB03129.XBTB03129
    • HKEY_CLASSES_ROOT\XBTB03129.XBTB03129.1
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XBTB03129.XBTB03129Toolbar
    • HKEY_CURRENT_USER\Software\XBTB03129
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6029B367-250A-4696-925C-641709CA7381}
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{01E04581-4EEE-11D0-BFE9-00AA005B4383}
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}


  5. 必要な場合は、次のレジストリエントリを以前の値に復元します。

    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Search Bar" = "http://toolsbar.kuaiso.com/search.html"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Search Page" = "http://toolsbar.kuaiso.com/search.html"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"SearchAssistant" = "http://toolsbar.kuaiso.com/search.html"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://toolsbar.kuaiso.com/index.htm"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Use Search Asst" = "No"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\"{6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89}" = ""
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\"SearchAssistant" = "http://toolsbar.kuaiso.com/search.html"


  6. レジストリエディタを終了します。

    注意: HKEY_CURRENT_USER のレジストリサブキーまたはエントリが作成または改ざんされた場合、侵入先のコンピュータの各ユーザーについても同様に作成や改ざんが行われる可能性があります。すべてのレジストリサブキーやエントリの削除または復元を確認するには、各ユーザーアカウントを使用してログオンし、上記にリストしたすべての HKEY_CURRENT_USER 項目をチェックしてください。