更新日: March 27, 2007 3:10:37 AM
種別: Adware
感染サイズ: 1,854,096 バイト
リスクインパクト: Low
影響を受けるシステム: Windows

動作

Adware.Uplink は、自分自身をブラウザヘルパーオブジェクトとしてインストールし、広告を表示するアドウェアプログラムです。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン May 07, 2019 リビジョン 006
  • Daily Certified 初回バージョン March 14, 2007
  • Daily Certified 最新バージョン May 07, 2019 リビジョン 008
  • Weekly Certified 初回リリース日 March 14, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

このセキュリティリスクは、実行されると、次のファイルを作成します。
%System%\MyAD.dll - Adware.Uplink として検出されます
%System%\RvReg.exe
%System%\UnINMyAD.EXE
%System%\GDU.dll
%System%\dad.bat

テンポラリフォルダ内に次のファイルを作成する可能性があります。
%Temp%\time.dll
%Temp%\InetLoad.dll
%Temp%\InstallOptions.dll
%Temp%\KillProcDLL.dll

このセキュリティリスクは、次のレジストリエントリを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\VersionIndependentProgID\"[デフォルト]" = "MyAD.MAgent"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\TypeLib\"[デフォルト]" = "{94834108-EDB9-43D9-BACF-75F98FEF94F5}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\ProgID\"[デフォルト]" = "MyAD.MAgent"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\InprocServer32\"[デフォルト]" = "%System%\MyAD.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\InprocServer32\"ThreadingModel" = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\"[デフォルト]" = "MAgent Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\0\win32\"[デフォルト]" = "%System%\MyAD.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\HELPDIR\"[デフォルト]" = "%System%"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\FLAGS\"[デフォルト]" = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\"[デフォルト]" = "MyAD 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent\Curver\"[デフォルト]" = "MyAD.MAgent.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent\CLSID\"[デフォルト]" = "{C8858236-5154-4A40-B65E-33AA5437DB9E}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent\"[デフォルト]" = "MAgent Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent.1\CLSID\"[デフォルト]" = "{C8858236-5154-4A40-B65E-33AA5437DB9E}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent.1\"[デフォルト]" = "MAgent Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MyAD.dll\"[デフォルト]" = "%System32%\MyAD.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MyAD.dll\"Path" = "%System32%\MyAD.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"DisplayName" = "Uplink"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"UninstallString" = "%System%\UnINMyAD.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"DisplayIcon" = "%System%\Uplink"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"DisplayName" = "Uplink"
HKEY_LOCAL_MACHINE\SOFTWARE\XXxx.oOO\"ProgramFolder" = "%System%"
HKEY_LOCAL_MACHINE\SOFTWARE\XXxx.oOO\"ProgramPath" = "%System%MyAD.dll"
HKEY_USER\[ランダム]\Software\XXxx.oOO\"ProgramFolder" = "%System%"
HKEY_USER\[ランダム]\Software\XXxx.oOO\"ProgramPath" = "%System%MyAD.dll"

その後これは、次のリモートロケーションへ接続することによって、MAC アドレスなどの秘密情報の送信を試みます。
www.uplink.co.kr

このセキュリティリスクは、訪れた Web サイトのバナーと広告を、 独自の バナーと広告に置き換えます。


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。

  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加された値を削除します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。 システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。 コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。 この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。 その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、「マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。 最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使用して入手する方法:

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。 メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。このウイルスへの対応は、「プロテクション」欄の「ウイルス定義 (Live Update)」の日付をご覧ください。


  • Intelligent Updater を使用して入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。このウイルスへの対応は、「プロテクション」欄の「ウイルス定義(Intelligent Updater)」の日付をご覧ください。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちら をご参照ください。

3. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。

    個人のお客様向け Norton AntiVirus 製品をお使いの場合 (パッケージ製品): 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法

    企業・法人のお客様向け Symantec AntiVirus 製品をお使いの場合 (ライセンス製品): 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システム全体のスキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。
重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。 このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。 コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。


(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除する
重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。 レジストリの編集作業を始める前に必ず 「レジストリのバックアップ方法 」をお読みください。
  1. スタートメニューで[Run(ファイル名を指定して実行)] をクリックします。
  2. regedit と入力します。
  3. [OK] をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  4. 次のエントリへナビゲートして、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\VersionIndependentProgID\"[デフォルト]" = "MyAD.MAgent"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\TypeLib\"[デフォルト]" = "{94834108-EDB9-43D9-BACF-75F98FEF94F5}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\ProgID\"[デフォルト]" = "MyAD.MAgent"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\InprocServer32\"[デフォルト]" = "%System%\MyAD.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\InprocServer32\"ThreadingModel" = "Apartment"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8858236-5154-4a40-b56e-33aa5437bd9e}\"[デフォルト]" = "MAgent Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\0\win32\"[デフォルト]" = "%System%\MyAD.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\HELPDIR\"[デフォルト]" = "%System%"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\FLAGS\"[デフォルト]" = 0
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{94834108-EDB9-43D9-BACF-75F98FEF94F5}\1.0\"[デフォルト]" = "MyAD 1.0 Type Library"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent\Curver\"[デフォルト]" = "MyAD.MAgent.1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent\CLSID\"[デフォルト]" = "{C8858236-5154-4A40-B65E-33AA5437DB9E}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent\"[デフォルト]" = "MAgent Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent.1\CLSID\"[デフォルト]" = "{C8858236-5154-4A40-B65E-33AA5437DB9E}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyAD.MAgent.1\"[デフォルト]" = "MAgent Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MyAD.dll\"[デフォルト]" = "%System32%\MyAD.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MyAD.dll\"Path" = "%System32%\MyAD.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"DisplayName" = "Uplink"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"UninstallString" = "%System%\UnINMyAD.EXE"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"DisplayIcon" = "%System%\Uplink"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uplink\"DisplayName" = "Uplink"
    HKEY_LOCAL_MACHINE\SOFTWARE\XXxx.oOO\"ProgramFolder" = "%System%"
    HKEY_LOCAL_MACHINE\SOFTWARE\XXxx.oOO\"ProgramPath" = "%System%MyAD.dll"
    HKEY_USER\[ランダム]\Software\XXxx.oOO\"ProgramFolder" = "%System%"
    HKEY_USER\[ランダム]\Software\XXxx.oOO\"ProgramPath" = "%System%MyAD.dll"

  5. レジストリ エディタを終了します。