Symantec

シマンテック・セキュリティ・レスポンス

http://www.symantec.com/ja/jp/security_response/index.jsp

Spyware.ActualNames

更新日:
2007 年 2 月 13 日 11:39:46 AM
種別:
Spyware
発行者:
ActualNames
リスクインパクト:
High
ファイル名:
finddll.dll,findservice.exe,mailbook.exe,mailbookproxy.dll,mydll.dll,nn7dll.dll,nndll.dll,spredirect
影響を受けるシステム:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

危険性の評価

動作


Spyware.ActualNames は Internet Explorer のブラウザヘルパーオブジェクトであり、かつ Internet Explorer、Netscape Navigator、AOL のユーザを対象にしたアドレスバーハイジャッカーです。Spyware.ActualNames は自身が制御しているサーバから署名されていないコードをダウンロードし、実行することができます。そのため Spyware.ActualNames はセキュリティに対するリスクとなります。

症状


このファイルが存在する場合、Spyware.ActualNames として検出されます。

転送


Spyware.Actualnames は ActiveX インストーラを利用してダウンロードされるか、または KazaaMate の一部のバージョンを含む他の製品にバンドルされています。

ウイルス対策日

  • Rapid Release 初回バージョン2004 年 9 月 4 日
  • Rapid Release 最新バージョン2010 年 9 月 28 日 リビジョン054
  • Daily Certified 初回バージョン2004 年 9 月 4 日
  • Daily Certified 最新バージョン2010 年 9 月 28 日 リビジョン036
  • Weekly Certified 初回リリース日2004 年 9 月 8 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

テクニカルノート


Spyware.ActualNames が実行されると、次のことを行います。
  1. Web ブラウザのアドレスバーをハイジャックし、検索内容をリダイレクトします。
  2. 一部の電子メールの送信を妨害する可能性のある電子メールプロキシをインストールします。
  3. Spyware.ActualNames が制御しているサーバから新バージョンをダウンロードすることによって、自分自身を更新します。
  4. 次のファイルとフォルダを作成します。
    • %ProgramFiles%\AdvSearch\cliner.exe
    • %ProgramFiles%\AdvSearch\finddll.dll (クリックとウィンドウの動作を監視するための CBT フックライブラリ)
    • %ProgramFiles%\AdvSearch\findservice.exe (AOL、Netscape、Internet Explorer の各スレッドを発見するファイル)
    • %ProgramFiles%\AdvSearch\mailbook.exe (電子メールプロキシに関連するファイル)
    • %ProgramFiles%\AdvSearch\mailbookproxy.dll (電子メールプロキシを登録する電子メールプロキシライブラリ)
    • %ProgramFiles%\AdvSearch\mydll.dll (ウィンドウメッセージフックライブラリ)
    • %ProgramFiles%\AdvSearch\nn7dll.dll (ウィンドウメッセージフックライブラリ)
    • %ProgramFiles%\AdvSearch\nndll.dll (ウィンドウメッセージフックライブラリ)
    • %ProgramFiles%\AdvSearch\regsvr32.exe
    • %ProgramFiles%\AdvSearch\spredirect.dll (ブラウザヘルパーオブジェクト)
    • %ProgramFiles%\AdvSearch\update.exe (アップデート関数のコンポーネント)
    • %ProgramFiles%\AdvSearch\updater.exe (アップデート関数のコンポーネント)
    • %ProgramFiles%\AdvSearch\updaterproxy.dll (電子メールプロキシアップデートライブラリ)
    • %ProgramFiles%\AdvSearch\unins000.exe
    • %ProgramFiles%\AdvSearch\unins000.dat

      注意: %ProgramFiles% は可変でプログラムファイルフォルダを参照します。標準では、このフォルダは C:\Program Files です。

  5. 次のレジストリキーを作成します。

    HKEY_CLASSES_ROOT\AdvSearch.AlarIT.LioN.Updater
    HKEY_CLASSES_ROOT\AdvSearch.AlarIT.LioN.Updater.1
    HKEY_CLASSES_ROOT\CLSID\{80751B22-3FB8-4ED9-B029-E6F568BB48A8}
    HKEY_CLASSES_ROOT\CLSID\{B9CD23F0-086D-4190-9C04-FBFA1EA09FF8}
    HKEY_CLASSES_ROOT\Interface\{B9CD23F0-086D-4190-9C04-FBFA1EA09FF8}
    HKEY_CLASSES_ROOT\TypeLib\{7197649B-548D-41C0-B2C1-45ED402594A}
    HKEY_CLASSES_ROOT\CLSID\{92C7D65C-52F3-4545-8A35-213D730DB1ED}
    HKEY_CLASSES_ROOT\Interface\{92C7D65C-52F3-4545-8A35-213D730DB1ED}
    HKEY_CLASSES_ROOT\TypeLib\{4CD051DD-AA90-4C5C-BD55-EA52969BE48B}
    HKEY_CLASSES_ROOT\CLSID\{33403499-E238-4F35-8F5A-7F53D24FF9E2}
    HKEY_CLASSES_ROOT\Interface\{33403499-E238-4F35-8F5A-7F53D24FF9E2}
    HKEY_CLASSES_ROOT\TypeLib\{300D6635-E419-47E3-9642-6D73337684CD}
    HKEY_CLASSES_ROOT\CLSID\{DEE456F3-A075-4F60-BEA0-8748D0917701}


駆除方法


以下の手順は、セキュリティリスクに対応したすべてのシマンテック アンチウイルス製品のお客様を対象に記述されています。
  1. ウイルス定義を最新版に更新します。
  2. .dll ファイルの登録を解除します。
  3. [アプリケーションの追加と削除] または [プログラムの追加と削除] で ActualNames をアンインストールします。
  4. システム全体のスキャンを実行します。
  5. レジストリに追加された値を削除します。
  6. 関連ファイルおよびフォルダを削除します。
具体的な手順については、以下のセクションをご覧ください。

1. ウイルス定義を更新する
最新のウイルス定義を入手するには、シマンテック アンチウイルス プログラムを開き LiveUpdate を実行します。

2. .dll ファイルの登録を解除する
  1. [スタート] ボタンを押して、[ファイル名を指定して実行] をクリックします。
  2. 次の文字列を入力するか、あるいはコピー & ペーストします。

    regsvr32 /u "%ProgramFiles\AdvSearch\mailbookproxy.dll"

    その後、[    OK] をクリックします。
  3. 確認ダイアログボックスが表示されたら、[OK] をクリックします。
  4. a から c までのステップを繰り返し、次の文字列を入力するか、あるいはコピー & ペーストします。

    regsvr32 /u "%ProgramFiles\AdvSearch\spredirect.dll"

    その後、[    OK] をクリックします。
  5. a から c までのステップを繰り返し、次の文字列を入力するか、あるいはコピー & ペーストします。

    regsvr32 /u "%ProgramFiles\AdvSearch\updaterproxy.dll"

    その後、[    OK] をクリックします。


3. スパイウェアをアンインストールする
  1. 次のいずれかを行います。
    • Windows 98 の場合:
      1. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
      2. [コントロール パネル] ウィンドウの [アプリケーションの追加と削除] をダブルクリックします。

    • Windows Me の場合:
      1. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
      2. [コントロール パネル] ウィンドウの [アプリケーションの追加と削除] をダブルクリックします。
        [アプリケーションの追加と削除] アイコンが見つからないときは、[        すべてのコントロール パネルのオプションを表示する] をクリックします。

    • Windows 2000 の場合:
      Windows 2000 のデフォルト設定は Windows 98 と同じです。 Windows 98 の手順に従ってください。 デフォルトと異なる場合は、[      スタート] ボタンをクリックし、[設定]、[コントロール パネル] の順にポイントして、[アプリケーションの追加と削除] をクリックします。
    • Windows XP の場合:
      1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
      2. [コントロール パネル] ウィンドウの [アプリケーションの追加と削除] をダブルクリックします。


  2. ActualNames をクリックします。

    注意: リストにすべての項目が表示されていない場合には、スクロールバーを使用してください。
  3. お使いのオペレーティングシステムによって名称は異なりますが、[追加と削除]、[変更と削除]、または [削除] をクリックします。以降は、表示されるメッセージに従ってください。


4. スキャンを実行する
  1. シマンテック・アンチウイルス・プログラムを開き、システム全体のスキャンを実行します。

    注意: 前のセクションに従って [アプリケーションの追加と削除] または [プログラムの追加と削除] を実行した場合、該当するすべてのファイルが削除される可能性があり、その場合にはファイルは何も検出されません。
  2. Spyware.ActualNames に感染しているファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のうち 1 つ以上のオプションが表示されます。

    注意: このオプションは、セキュリティリスクに対応したバージョンの Norton AntiVirus 製品でのみ表示されます。セキュリティリスクに対応した Symantec AntiVirus Corporate Edition で、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
    • 除外 (Exclude) (このオプションは推奨しません): このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。
    • 無視またはスキップ (Ignore or Skip): このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。
    • 削除 (Delete): このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [ファイル名] 欄から削除するリスクのファイル名をクリックします。
      • [項目情報] ボックスに表示されているファイル名と完全なパスを書き留めます。
      • 次に、Windows Explorer を使用して該当するファイルを探し出して削除します。

    Windows から、選択したファイルを削除できないというメッセージが表示された場合、そのファイルは使用中です。その場合は、以下の手順を最後まで行ってから、コンピュータをセーフモードで 再起動し、Windows Explorer を使用してファイルを削除します。具体的な手順については、"    コンピュータをセーフモードで起動する方法" をご覧ください。

5. レジストリが存在する場合、レジストリから値を削除する

警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず "レジストリのバックアップ方法" をお読みください。
  1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。
  2. regedit と入力します。

    その後、[    OK] をクリックします。
  3. 次のレジストリキーが存在する場合、選択して削除します。

    HKEY_CLASSES_ROOT\AdvSearch.AlarIT.LioN.Updater
    HKEY_CLASSES_ROOT\AdvSearch.AlarIT.LioN.Updater.1
    HKEY_CLASSES_ROOT\CLSID\{80751B22-3FB8-4ED9-B029-E6F568BB48A8}
    HKEY_CLASSES_ROOT\CLSID\{B9CD23F0-086D-4190-9C04-FBFA1EA09FF8}
    HKEY_CLASSES_ROOT\Interface\{B9CD23F0-086D-4190-9C04-FBFA1EA09FF8}
    HKEY_CLASSES_ROOT\TypeLib\{7197649B-548D-41C0-B2C1-45ED402594A}
    HKEY_CLASSES_ROOT\CLSID\{92C7D65C-52F3-4545-8A35-213D730DB1ED}
    HKEY_CLASSES_ROOT\Interface\{92C7D65C-52F3-4545-8A35-213D730DB1ED}
    HKEY_CLASSES_ROOT\TypeLib\{4CD051DD-AA90-4C5C-BD55-EA52969BE48B}
    HKEY_CLASSES_ROOT\CLSID\{33403499-E238-4F35-8F5A-7F53D24FF9E2}
    HKEY_CLASSES_ROOT\Interface\{33403499-E238-4F35-8F5A-7F53D24FF9E2}
    HKEY_CLASSES_ROOT\TypeLib\{300D6635-E419-47E3-9642-6D73337684CD}
    HKEY_CLASSES_ROOT\CLSID\{DEE456F3-A075-4F60-BEA0-8748D0917701}
  4. レジストリエディタを終了します。


    6. 関連ファイルおよびフォルダが存在する場合、削除する
    1. Windows エクスプローラを使用して、プログラムファイルフォルダを選択します。
    2. "AdvSearch" というフォルダとこのフォルダ内の全ファイルを削除します。


    ©1995 - 2012 Symantec Corporation
    サイトマップ|
    利用規約|
    プライバシーポリシー