Palm84 某所の日記

有為のクマにかくれり~

ウイルス情報とか - マカフィー

  • "Start Page" = http://daosearch.com

svchost32.dllはシステム全体のメッセージフックをインストールします。このdllはすべての実行中のプロセスと一緒にロードされます。システムで動作中のプロセスを監視し、Internet Explorer、Netscap、Firefox、Mozilla、OperaといったWebブラウザが起動された場合にはさまざまなタスクを実行できます。

  • * アップデートのダウンロード
  • * ポップアップメッセージの表示
  • ・このdllはWebブラウザのコンテンツを監視します。googleなどの特定の検索エンジンが使用された場合、このdllが検索結果を生成し、リストのトップに掲載します。

IE 以外のブラウザもまとめてターゲットにする手法は増えて来てますね。ひとつでも何かに感染しちゃったら「何でもあり」になっちゃうのは今も昔も同じだと個人的には思ってますけど。


こんなのもありましたね。

Firefox(Mozilla, Netscapeも)とSunJREを使用していた場合、不正な署名アプレットに対し不用意に「Yes」をクリックするとアドウェアをインストールされ使っていないIEまでアドウェアに汚染されてしまうという話。当然ながら出所の確かではない署名アプレットを信用してはならない。

Amongst the assortment was DyFuCA, Internet Optimizer, ISTsvc, Kapabout, sais (180 Solutions), SideFind, Avenue Media and something called djtopr1150.exe lurking in the Temp folder.

余談ですけど・・・Mozilla や Firefox にも危険なセキュリティホールは見つかるわけで、設定とかわからないまま Firefox とか使うなら、設定を理解した上でIEを使ってる方が安全だと思います。まずはIEの設定とか「何が危険なの?」を覚えることが最も重要ですよね。「どっちが安全?」的議論にしても、結局はユーザーの使い方次第なんでループしちゃうんじゃないでしょうか?
なんちて(照。


Adware-RBlast.dllはインストール中にActiveXコントロールのプロンプトに使用許諾契約へのリンクを表示します。使用許諾契約では、ソフトウェアの機能が説明されていますが、データ収集、プライバシー侵害に関する活動の定義には一貫性がありません。文書には、ISTがツールバーソフトウェアを使用して閲覧中の情報を収集できる幅広い権限が規定されています(第18 条)。

注:有害な可能性のあるプログラムかどうかは別として、他のサードパーティ製アプリケーションに関連する多数のファイルも追加されます(追加されるファイルはさまざまです)。

有害な可能性のあるプログラムかどうかは別として。こういう表現がこれから増えてくるかも。

ホームページ(www.websearch.com)にアクセスして確認したところ、Adware-Websearchのインストール方法は少なくとも2つあるようです。第1の方法では、符号付きの ActiveXコントロールを使用してインストールします。ユーザがActiveXを使用してインストールしないことを選択すると(インストールが2回試行されます)、別のページが表示され、標準的なファイルのダウンロードにより、スタブダウンローダ(edow.exe)ファイルが提供されます。いずれの場合も、絵図による例や点滅する矢印を使用して、ソフトウェアをインストールできるボタンを押すよう促します。ただし、使用許諾契約を最初に読むようにとの警告が複数の場所(ActiveXダウンロードダイアログウィンドウのリンクとWebページのリンク)に表示されます。

「ActiveXコントロール」のダウンロード画面の後、iframeからの実行ファイルのダウンロード画面を出すのでしょうか?CWSの典型的パターンと同じかも。スタブダウンローダの「スタブ」って、別のファイルを呼び出すってことかな。つまり普通にダウンローダって呼称でもいいように思うんですけど。

  • The following registry key is created:
    • * KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • "msgina" = C:\WINDOWS\system32\msgina\wuauclt2.exe (or)
    • "sr64" = C:\Documents and Settings\(current user)\Application Data\Microsoft\sr64\(random file name)

Ixplore.exe, detected as adware-BetterInet.dldr, downloads various adware and dialer programs. It also sends out system info to thinstall.betterinternet.com prior to installation of the downloaded programs. Some of the downloaded adware programs are as follows:

  • Adware-BetterInet
  • Adware-IPSentry
  • Downloader-KL
  • Dialer-RAS.bb.gen

・Adware-SideFindはEULAまたはプライバシーポリシーに関する情報を表示しません。メインの実行ファイルには会社名は組み込まれていませんが、ドロップ(作成)されるDLLの1つであるsindefind.dllに IST(adware-ISTbarのメーカー)という会社名が組み込まれています。