更新日: October 11, 2007 4:25:22 AM
種別: Misleading Application
感染サイズ: 966,382 バイト
名前: Messenger Blocker
バージョン: 4.5
発行者: M. Solutions
リスクインパクト: Medium
影響を受けるシステム: Windows

動作

MessengerBlocker は、ユーザーのコンピュータにランダムなポップアップを定期的にスパム送信する可能性があり、その後迷惑なポップアップに対してプロテクトするためにアプリケーションの登録されたバージョンを購入するようユーザーに促す、誤認を招くアプリケーションです。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン May 07, 2019 リビジョン 006
  • Daily Certified 初回バージョン October 10, 2007 リビジョン 016
  • Daily Certified 最新バージョン May 07, 2019 リビジョン 008
  • Weekly Certified 初回リリース日 October 17, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

動作
このセキュリティリスクは、手動でインストールされるか、または別の誤認を招くアプリケーションである SystemDoctor のコンポーネントとしてインストールされます。また、www.messenger-blocker.com からダウンロードしてインストールすることも可能です。

このセキュリティリスクは、メッセンジャーサービスを使う着信のポップアップに対してユーザーをプロテクトすると主張します。




このアプリケーションは 7 日間のお試し期間を提供し、その後、このセキュリティリスクはメッセンジャーサービスを有効にし、開始します。ユーザーのコンピュータにランダムなポップアップを定期的にスパム送信します。

広告ポップアップの例:




その後このセキュリティリスクは、迷惑なポップアップに対してプロテクトするためにアプリケーションを購入するようユーザーに要請します。




インストール
このプログラムは、実行されると、次のファイルを作成します。

  • %UserProfile%\Favorites\Messenger Blocker.url
  • %UserProfile%\Local Settings\Temp\~[ランダムな文字].tmp
  • C:\Documents and Settings\All User\Desktop\Messenger Blocker.lnk
  • C:\Documents and Settings\All User\Start Menu\Programs\Messenger Blocker\Messenger Blocker.lnk
  • C:\Documents and Settings\All User\Start Menu\Programs\Messenger Blocker\Purchase Messenger Blocker.lnk
  • %CommonProgramFiles%\System\csrss.exe
  • %CommonProgramFiles%\System\lsass.exe
  • %CommonProgramFiles%\System\ntsvc.ocx
  • %CommonProgramFiles%\System\servicelog.txt
  • %CommonProgramFiles%\System\services.exe
  • %CommonProgramFiles%\System\smss.exe
  • %ProgramFiles%\MBlocker\MBlocker.exe
  • %ProgramFiles%\MBlocker\MessengerBlocker.url
  • %ProgramFiles%\MBlocker\TranImg6.ocx
  • %Temp%\~[ランダムな文字].tmp
  • %Temp%\~[ランダムな文字].tmp
  • %System%\servicelog.txt

次にこのプログラムは、次のレジストリ値を作成して、Windonws が開始されたときにこのプログラムが実行されるようにします。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsExplorer" = "C:\Program Files\Common Files\System\csrss.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsFirewall" = "C:\Program Files\Common Files\System\lsass.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemData: "C:\Program Files\MBlocker\MBlocker.exe -c"

このプログラムは、次のレジストリサブキーを作成します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6C09102B-BB86-11D1-A87F-FCA10FDB3241}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6C091031-BB86-11D1-A87F-FCA10FDB3241}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D2554782-90CF-4369-BAD8-4AC09E7D9E71}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{04B5CFA2-8FA7-11D2-8C74-F76767315531}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{04B5CFA3-8FA7-11D2-8C74-F76767315531}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0BBE8DBA-A4E1-11D2-8C74-880DF061F87B}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0BBE8DBB-A4E1-11D2-8C74-880DF061F87B}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F4D6CFE-D7A1-11D1-A87F-E750C1983B5E}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F4D6CFF-D7A1-11D1-A87F-E750C1983B5E}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6A39DCBD-0943-11D2-A87F-C9202FD29174}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6A39DCBE-0943-11D2-A87F-C9202FD29174}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6C09102A-BB86-11D1-A87F-FCA10FDB3241}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6C09102D-BB86-11D1-A87F-FCA10FDB3241}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6C091030-BB86-11D1-A87F-FCA10FDB3241}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9D99ECC5-3F68-4070-B72B-36849E81E7BE}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ADFF7529-D31C-11D1-A87F-B73FA4FB5E69}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ADFF752A-D31C-11D1-A87F-B73FA4FB5E69}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EDB36137-BBCD-11D1-A87F-8F9B67DFAA49}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EDB36138-BBCD-11D1-A87F-8F9B67DFAA49}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F6D2C2B6-D310-11D1-A87F-B73FA4FB5E69}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F6D2C2B7-D310-11D1-A87F-B73FA4FB5E69}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{50CBA22D-9024-11D1-AD8F-8E94A5273767}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8B7D0977-232F-49ED-9739-65968DED3E43}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DevPowerTransImg.TransImg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NTService.Control.1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SMSender.MT
  • HKEY_LOCAL_MACHINE\SOFTWARE\ApiWin32
  • HKEY_LOCAL_MACHINE\SOFTWARE\MSolutions
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SMS32
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SMS32
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMS32
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Messenger Blocker
  • HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P

カレントユーザーのタスク マネージャを無効にするために、次のレジストリ値を作成または変更します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"

イベントログへメッセンジャーサービスを追加するために、次のレジストリエントリを変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\"Sources" = "[サービスのリスト] SMS32"


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテックアンチウイルス製品のお客様を対象にして記述されています。

  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加された値を削除します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする(Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE 内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、「マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使って入手する方法:

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。


  • Intelligent Updater を使って入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお勧めします。Intelligent Updater のウイルス定義ファイルはこちら からダウンロードすることができます。 ダウンロード、インストールする方法に関しては、こちら をご参照ください。

3. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。

    個人のお客様向け Norton AntiVirus 製品をお使いの場合(パッケージ製品): 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法

    企業、法人のお客様向け Symantec AntiVirus 製品をお使いの場合(ライセンス製品): 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システム全体のスキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。
重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。
ファイルの削除後、コンピュータを通常モードで再起動してから、次のセクションに進んでください。

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK]をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
メッセージ本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除する
警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法 」をお読みください。
  1. [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。
  2. regedit と入力します。
  3. その後、[OK]をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  4. 次のレジストリエントリへ移動して、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsExplorer" = "C:\Program Files\Common Files\System\csrss.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsFirewall" = "C:\Program Files\Common Files\System\lsass.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemData: "C:\Program Files\MBlocker\MBlocker.exe -c"

  5. 次のレジストリサブキーへ移動して、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6C09102B-BB86-11D1-A87F-FCA10FDB3241}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6C091031-BB86-11D1-A87F-FCA10FDB3241}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D2554782-90CF-4369-BAD8-4AC09E7D9E71}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{04B5CFA2-8FA7-11D2-8C74-F76767315531}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{04B5CFA3-8FA7-11D2-8C74-F76767315531}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0BBE8DBA-A4E1-11D2-8C74-880DF061F87B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0BBE8DBB-A4E1-11D2-8C74-880DF061F87B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F4D6CFE-D7A1-11D1-A87F-E750C1983B5E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F4D6CFF-D7A1-11D1-A87F-E750C1983B5E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6A39DCBD-0943-11D2-A87F-C9202FD29174}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6A39DCBE-0943-11D2-A87F-C9202FD29174}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6C09102A-BB86-11D1-A87F-FCA10FDB3241}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6C09102D-BB86-11D1-A87F-FCA10FDB3241}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6C091030-BB86-11D1-A87F-FCA10FDB3241}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9D99ECC5-3F68-4070-B72B-36849E81E7BE}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ADFF7529-D31C-11D1-A87F-B73FA4FB5E69}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ADFF752A-D31C-11D1-A87F-B73FA4FB5E69}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EDB36137-BBCD-11D1-A87F-8F9B67DFAA49}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EDB36138-BBCD-11D1-A87F-8F9B67DFAA49}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F6D2C2B6-D310-11D1-A87F-B73FA4FB5E69}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F6D2C2B7-D310-11D1-A87F-B73FA4FB5E69}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{50CBA22D-9024-11D1-AD8F-8E94A5273767}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8B7D0977-232F-49ED-9739-65968DED3E43}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DevPowerTransImg.TransImg
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NTService.Control.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SMSender.MT
    HKEY_LOCAL_MACHINE\SOFTWARE\ApiWin32
    HKEY_LOCAL_MACHINE\SOFTWARE\MSolutions
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SMS32
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SMS32
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMS32
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Messenger Blocker
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P

  6. 次のレジストリエントリをそれらのオリジナルの値へ復元します。

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"

  7. 次のレジストリエントリから値 SMS32 のみを削除します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\"Sources" = "[サービスのリスト] SMS32"

  8. レジストリエディタを終了します。