Adware.Okcashbackmall

ドキュメントを印刷する

更新日: April 07, 2009 5:13:55 AM
種別: Adware
感染サイズ: 267,264 バイト
名前: okcashbackmall をインストール
バージョン: 1.0.0.0
発行者: okcashbackmall をインストール
リスクインパクト: Medium
影響を受けるシステム: Windows

動作

Adware.Okcashbackmall は、リンク先の Web サイトからブラウザをリダイレクトする可能性があるアドウェアプログラムです。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン May 07, 2019 リビジョン 006
  • Daily Certified 初回バージョン April 29, 2008 リビジョン 03
  • Daily Certified 最新バージョン May 07, 2019 リビジョン 008
  • Weekly Certified 初回リリース日 April 30, 2008

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

このプログラムは、実行時に次のファイルを作成します。

  • %CurrentFolder%\tmp_1023921881.exe
  • %CurrentFolder%\DelZip179.dll
  • %UserProfile%\Desktop\[韓国語文字].lnk
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %UserProfile%\Favorites\[韓国語文字]\[韓国語文字].url
  • %ProgramFiles%\cashbackkorea\auction.ico
  • %ProgramFiles%\cashbackkorea\cashbackkorea.dll
  • %ProgramFiles%\cashbackkorea\cashbackkoreabar.dll
  • %ProgramFiles%\cashbackkorea\shoppingmall.zip
  • %ProgramFiles%\cashbackkorea\uninstall.exe
  • %ProgramFiles%\cashbacksys\auction.ico
  • %ProgramFiles%\cashbacksys\cashbacksys.dll
  • %ProgramFiles%\cashbacksys\cashbacksysbar.dll
  • %ProgramFiles%\cashbacksys\shoppingmall.zip
  • %ProgramFiles%\cashbacksys\uninstall.exe
  • %ProgramFiles%\mizane\auction.ico
  • %ProgramFiles%\mizane\mizane.dll
  • %ProgramFiles%\mizane\mizanebar.dll
  • %ProgramFiles%\mizane\shoppingmall.zip
  • %ProgramFiles%\okcashbackmall\uninstall.exe
  • %System%\dwqblw[ランダムな文字列].exe
  • %System%\dwqblw[ランダムな文字列].exe
  • %System%\dwqblw[ランダムな文字列].exe
  • %System%\icons.dll
  • %System%\img1.flv
  • %System%\img2.flv
  • %System%\tempfiles_[ランダムな数字].exe
  • %System%\zadwqblw[ランダムな文字列].exe
  • %System%\zadwqblw[ランダムな文字列].exe


次にこのプログラムは、次のレジストリエントリを作成して、Windows が開始されたときにこのプログラムが実行されるようにします。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"dwqblwppx.exe" = "C:\WINDOWS\system32\dwqblw[ランダムな文字列].exe"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"dwqblwpvl.exe" = "C:\WINDOWS\system32\dwqblw[ランダムな文字列].exe"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"dwqblwrsq.exe" = "C:\WINDOWS\system32\dwqblw[ランダムな文字列].exe"


また、次のレジストリサブキーを作成します。
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
  • HKEY_CLASSES_ROOT\CLSID\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
  • HKEY_CLASSES_ROOT\CLSID\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
  • HKEY_CLASSES_ROOT\CLSID\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
  • HKEY_CLASSES_ROOT\CLSID\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
  • HKEY_CLASSES_ROOT\CLSID\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
  • HKEY_CLASSES_ROOT\cashbackkorea.cashbackkorea.com
  • HKEY_CLASSES_ROOT\cashbackkoreabar.cashbackkorea
  • HKEY_CLASSES_ROOT\cashbacksys.cashbacksys.com
  • HKEY_CLASSES_ROOT\cashbacksysbar.cashbacksys.com
  • HKEY_CLASSES_ROOT\mizane.mizane.com
  • HKEY_CLASSES_ROOT\mizanebar.mizane.com
  • HKEY_CLASSES_ROOT\okcashbackmall.okcashbackmall.com
  • HKEY_CLASSES_ROOT\okcashbackmallbar.okcashbackmall.com.Bar
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows cashbackkorea Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows cashbacksys Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows mizane Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\okcashbackmall Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\cashbackkorea


このプログラムは続いて、次のリモートロケーションに接続します。
http://okcashbackmall.com/down/home

そして、次のファイルを上記のロケーションからダウンロードします。
  • %ProgramFiles%\mizane\uninstall.exe
  • %ProgramFiles%\okcashbackmall\okcashbackmall.dll
  • %ProgramFiles%\okcashbackmall\okcashbackmallbar.dll


okcashbackmall.dll ファイルは、次のブラウザのヘルパーオブジェクトとして登録され、ブラウザの活動を監視します。
1DDE8A86-89D8-4B55-A936-65C40B6A8DD0

このプログラムは、また宛先の Web にブラウザをリダイレクトさせる可能性があります。


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のすべてのシマンテックウイルス対策製品をご利用のお客様を対象に記述されています。

  1. システムの復元機能を無効にします(Windows Me、XP)。
  2. ウイルス定義を最新版に更新します。
  3. システムの完全スキャンを実行します。
  4. この脅威がレジストリに追加した値を削除します。

具体的な手順については、以下の手順を参照してください。

1. システムの復元機能を無効にするには (Windows Me、XP)
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによってシステムの復元機能の改変を防止するように設定しています。この理由から、ウイルス対策プログラムおよび駆除ツールによるシステムの復元フォルダの感染ファイルの削除は不可能です。他のあらゆる場所で感染ファイルを削除しても、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、駆除作業の完了後でも、ウイルススキャンがシステムの復元フォルダに脅威を発見する場合があります。

システムの復元機能を無効にする方法については、お手持ちの Windows のマニュアルまたは下記の文書を参照してください。

注意: 駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

追加の情報および Windows Me システムの復元機能を無効化する以外の解決方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義ファイルを更新するには
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済です。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手可能です。
  • LiveUpdate を使って入手するには:

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上の製品をご利用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品は、より新しいテクノロジーを搭載しています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご利用の場合は、LiveUpdate の定義は毎週更新されます。例外として、重大なアウトブレークの発生時には定義はより頻繁に更新されます。


  • Intelligent Updater を使って入手するには: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムの実行で、ご利用のコンピュータのウイルス定義ファイルを最新版に更新可能です。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日更新します。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングで更新します。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。ファイルサイズは、前回からの差分のみをダウンロードする LiveUpdate と比較して大型です。このために、LiveUpdate で定期的にウイルス定義ファイルを更新し、疑わしいファイルからウイルスを検知しないなどの場合には、Intelligent Updater でのウイルス定義ファイルの更新を推奨します。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロード可能です。 手順の詳細は、「Intelligent Updater を使ってウイルス定義ファイルを更新する方法 」を参照してください。

3. システムの完全スキャンを実行するには
  1. シマンテックのウイルス対策ソフトウェアを起動して、すべてのファイルをスキャン対象に設定しているかどうかを確認します。

    個人のお客様向け Norton AntiVirus 製品をご利用の場合(パッケージ製品): 次の文書を参照してください。「すべてのファイルをウイルススキャンするように設定する方法

    企業、法人のお客様向け Symantec AntiVirus 製品をご利用の場合(ライセンス製品): 次の文書を参照してください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システムの完全スキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご利用のウイルス対策プログラムが表示する手順に従います。
重要: ご利用のシマンテックウイルス対策製品が起動しない、または検出ファイルの削除が不可能であると報告するメッセージを表示する場合には、実行中のリスクを停止してから削除する必要がある場合があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」を参照してください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行します。
ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進みます。

この時点ではワームの削除が完了していない可能性があるために、再起動時に警告メッセージが表示される可能性があります。このような場合、これらのメッセージを無視して、[OK] をクリックします。駆除手順の終了後にコンピュータを再起動すると警告メッセージが表示されなくなります。表示される場合は、以下のような警告メッセージです。

タイトル: [ファイルパス]
メッセージ本文: [ファイル名] が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。ファイルを検索するには、[スタート] ボタンをクリックしてから、[検索] をクリックしてください。

4. レジストリから値を削除するには
警告: システムレジストリ変更の際には、事前にバックアップを作成しておくことを強く推奨します。レジストリへの不適切な変更は、データ消失やファイル破損など修復不可能な問題を引き起こす可能性があります。指定されたサブキーのみを修正します。レジストリ編集作業の開始前に、必ず「レジストリのバックアップ方法 」を参照してください。
  1. [スタート]、[ファイル名を指定して実行]の順にクリックします。
  2. regedit
  3. と入力し、[OK]をクリックします。

    注意: レジストリエディタが開かない場合、この脅威がレジストリを改ざんしてレジストリエディタへのアクセスを阻止している可能性があります。セキュリティレスポンスは、この問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行します。

  4. 次のレジストリエントリへ移動して削除します。

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"dwqblwppx.exe" = "C:\WINDOWS\system32\dwqblw[ランダムな文字列].exe"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"dwqblwpvl.exe" = "C:\WINDOWS\system32\dwqblw[ランダムな文字列].exe"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"dwqblwrsq.exe" = "C:\WINDOWS\system32\dwqblw[ランダムな文字列].exe"

  5. 必要な場合は、次のレジストリエントリを以前の値へ復元します。

    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
    • HKEY_CLASSES_ROOT\CLSID\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
    • HKEY_CLASSES_ROOT\CLSID\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
    • HKEY_CLASSES_ROOT\CLSID\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
    • HKEY_CLASSES_ROOT\CLSID\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
    • HKEY_CLASSES_ROOT\CLSID\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
    • HKEY_CLASSES_ROOT\cashbackkorea.cashbackkorea.com
    • HKEY_CLASSES_ROOT\cashbackkoreabar.cashbackkorea
    • HKEY_CLASSES_ROOT\cashbacksys.cashbacksys.com
    • HKEY_CLASSES_ROOT\cashbacksysbar.cashbacksys.com
    • HKEY_CLASSES_ROOT\mizane.mizane.com
    • HKEY_CLASSES_ROOT\mizanebar.mizane.com
    • HKEY_CLASSES_ROOT\okcashbackmall.okcashbackmall.com
    • HKEY_CLASSES_ROOT\okcashbackmallbar.okcashbackmall.com.Bar
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows cashbackkorea Uninstall
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows cashbacksys Uninstall
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows mizane Uninstall
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\okcashbackmall Uninstall
    • HKEY_LOCAL_MACHINE\SOFTWARE\cashbackkorea

  6. レジストリエディタを終了します。

    注意: HKEY_CURRENT_USER のレジストリサブキーの作成または改ざんが見られる場合には、侵入先のコンピュータの各ユーザーについても同様のサブキーの作成または改ざんの可能性があります。すべてのレジストリサブキーやエントリを削除、または復元したことを確認するには、各ユーザーアカウントを使ってログオンし、上記にリストするすべての HKEY_CURRENT_USER 項目をチェックします。