CoolWebSearch系のインストーラーの検出名のようです。但し、全くの新種ではないと思います。
Upon execution, this memory-resident Trojan verifies if affected machines have Internet access. If it finds Internet access, it donwloads certain files, which TREND MICRO detects as the following malware programs, from various locations:
- BKDR_JEEMP.C
- TROJ_AGENT.JW
- TROJ_AGENT.KK
- TROJ_DELF.DG
- TROJ_FAVADD.A
- TROJ_LOWZONES.AJ
- TROJ_SMALL.FW
- TROJ_SMALL.OG
- TROJ_SMALL.OW
- TROJ_SMALL.SW
- TROJ_SMALL.TB
- TROJ_STRTPAGE.O
えー、私の知ってる範囲でちょっと補足
- 【BKDR_JEEMP.C】がファイル名「MSREXE.exe」サービス名「Swartax」でその名の通りバックドア。Ad-Awareが対応してる筈なのでかなりレジストリの掃除が可能だと思います。
- 【TROJ_FAVADD.A】は例のSmart Security(HijackThis Entry Databaseより)のことです。アクティブデスクトップで変な
画像HTMLファイルを仕込みます。(こんなのとか)Nortonでは「Adware.StartPage」で検出したことがありました。(ファイル名mstasks2.exeとか) - 【TROJ_STRTPAGE.O】はCWS.SysTimeとしてCWShredder で除去可能だと思います。
- 【TROJ_SMALL.FW】に関してはファイル名「child.dll」の除去より先に大本のexeファイルの停止が必要かと。(この場合はRUNDLL32.EXEとなってますが・・)
実際には他にもやられてる可能性大なので、IE関連のレジストリリセットなど色々な作業が必要だと思いますけど、ちょっとでも対応してくれてれば参考になるってことで。
