更新日: September 18, 2012 1:57:05 AM
種別: Adware
名前: SrvAd
リスクインパクト: Medium
影響を受けるシステム: Windows

動作

Adware.Gabpath は、ファイルをダウンロードしてリモートロケーションに情報をアップロードするアドウェアプログラムです。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン February 01, 2015 リビジョン 020
  • Daily Certified 初回バージョン October 17, 2011 リビジョン 032
  • Daily Certified 最新バージョン November 28, 2012 リビジョン 003
  • Weekly Certified 初回リリース日 October 19, 2011

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

このプログラムは、手動でインストールする必要があります。

このプログラムが実行されると、次のいずれかのミューテックスを作成して、コンピュータ上にコピーが 1 つだけ存在するようにします。

  • mtxBM
  • mtxGB
  • mtxMN
  • mutexNBT

また、このプログラムは次のリモートロケーションに接続して、ファイルをダウンロードします。
http://clients.newbrandtest.com/advservice.exe

このファイルは次の場所に保存されます。
C:\Documents and Settings\All Users\Application Data\Microsoft\Windows\AdvSesrvice.exe

さらに、このプログラムは Base64 でエンコードされている設定ファイルをダウンロードして、次のいずれかの場所に保存します。
  • %CurrentFolder%\config.cfg.[バージョン]
  • %Temp%\config.cfg.[バージョン]

この後、次のレジストリエントリを作成して、Windows が起動されるたびに自分自身が実行されるようにし、このプログラムの最新コピーがダウンロードされるようにします。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"NBT" = "[オリジナルのプログラムの場所]"

また、このプログラムは次のいずれかのレジストリサブキーを作成して、設定情報を保存する可能性があります。
  • HKEY_CURRENT_USER\Software\NBT
  • HKEY_CURRENT_USER\Software\Gabpath

さらに、このプログラムは次のレジストリエントリを改ざんする可能性があります。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\"nrungp" = "NULL"

続いて、次の特徴を持つサービスを作成します。
サービス名: SrvAd
イメージパス: C:\Documents and Settings\All Users\Application Data\Microsoft\Windows\AdvSesrvice.exe

また、このプログラムは次の情報をリモートロケーションに送信する可能性があります。
  • ハードウェア ID
  • 表示される広告の数
  • Service Pack バージョン番号
  • バージョン
  • Windows バージョンとビルド番号


駆除方法

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。