ウイルス情報

ウイルス名 危険度

Adware-DropSpam

企業ユーザ: N/A
個人ユーザ: N/A
種別 プログラム
最小定義ファイル
(最初に検出を確認したバージョン)
4652
対応定義ファイル
(現在必要とされるバージョン)
4654 (現在7656)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2005/12/21
発見日(米国日付) 2005/12/16
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・McAfee(R) AVERTは、許可された管理者が承知してアプリケーションをインストールするという意味では、Adware-DropSpamが合法であると認識しています。Adware-DropSpamまたは別の付属アプリケーションの使用許諾契約に合意すると、Adware-DropSpamの削除、Adware-DropSpamを使用しない状態でのホストアプリケーションの使用に関する法的義務を負うことになります。詳細はAdware-DropSpamのベンダーにお問い合わせください。

・ウイルス定義ファイルに追加された検出プログラムのリストについては、http://vil.nai.com/vil/DATReadme.aspxを参照してください。

・合法的にインストールされたプログラムを有効、無効に設定する方法、検出の対象から除外する方法については、http://www.mcafee.com/japan/security/configuration.aspを参照してください。

・Adware-DropSpamはウイルスやトロイの木馬ではありません。「有害な可能性のあるプログラム」として検出されます。ホームペ―ジ、デフォルトの検索ページをリダイレクトし、電子メールプロキシを確立し、広告アプリケーション/コンポーネントをダウンロードしてインストールする、ダイレクトマーケティング用のアドウェアアプリケーションです。

・Adware-DropSpamはホストシステム上に電子メールプロキシを確立します。多くの一般的なメールクライアント(Outlook、Outlook Expressなど)を再設定し、ユーザの通常のメールサーバではなく、dropspam.comのサーバにメールを送信します。元々のメールサーバのユーザのアカウント情報がローカルシステムから収集されて、dropspam.comに送信され、リダイレクトされたメールがユーザの元々のサーバ、アカウントから送信されるようにします。Adware-DropSpamの亜種にはInternet Explorerのツールバーが組み込まれているもの、独立したアプリケーションとしてのみ動作するものがあります(場合によってはシステムトレイにアイコンが表示されます)。バージョン/亜種によって、ユーザのブラウザのホームページ、検索ページのリダイレクトが組み込まれている場合があります。また、他の既知のPUP(Adware-BB、Spyware-WebHancer)をダウンロードしてインストールすることも確認されています。



・亜種によっては、インストール時に使用許諾契約が表示されます。しかし、契約を表示するダイアログをキャンセルした場合でも、Adware-DropSpamはシステムにインストールされたままです(すなわち、使用許諾契約はインストール後に表示されます)。


プライバシー

・インストール中、プライバシーポリシーは表示されません。ポリシーはDropSpamのWebサイト(http://www.dropspam.com/privacy.html)で確認できます。

・Adware-DropSpamは、インストール中、電子メールアカウントの情報をDropSpamのサーバに送信します。また、確立された電子メールプロキシにより、すべての電子メールがDropSpamのサーバを介して送信されます。

システムの改変

ファイルの追加
  • %WINDIR% \ewwsetup.exe (779,036バイト)
MD5: FBE4439576DE62A51DF2431432812271
  • %WINDIR% \uninstalltb.exe (40,960バイト)
MD5: AD81ECD93282A07CF04AC8906834ED1C
  • c:\documents and settings\%USER% \local settings\temp\_tix.log
  • c:\documents and settings\%USER% \application data\microsoft\addins\ewwotb.dll (167,936バイト)
MD5: 31E5E21B6FD8908F4AEC5A2FEE97B3E9
  • c:\program files\dropspam\setup.exe (71,168バイト)
MD5: F9EC6ABD080C000E6DE728FB8048708B
  • c:\program files\dropspam\oehk.dll (196,608バイト)
MD5: D232879EE8630A7DA09AA5D4C159643E
  • c:\program files\dropspam\ansmtp.dll (389,120バイト)
MD5: E72DDC50ABFF8834037046E125965997
  • c:\program files\dropspam\ewwie.dll (167,936バイト)
MD5: BC100BE312EC64FDCD7BF0D11080A394
  • c:\program files\dropspam\_setupx.dll (15,872バイト)
  • c:\program files\dropspam\uninstalltb.exe (40,960バイト)
MD5: AD81ECD93282A07CF04AC8906834ED1C
  • c:\program files\dropspam\passworddll.dll (62,976バイト)
MD5: EE5031FD5D37DD160AAD6FC4CE1B852C
  • c:\program files\dropspam\eww.exe (311,296バイト)
MD5: 11ED8A778C6E91F0F357D5B107155AA6
  • c:\program files\dropspam\setup.ini (サイズ、MD5は不定)
  • c:\program files\dropspam\oesrv.exe (155,648バイト)
MD5: 9558BC2660E4B435407C249BD7AF054C

・Adware-DropSpamのある亜種は以下のファイルを作成しました。

  • c:\program files\dslifestyle\dslifestyle.exe (266,240バイト)
MD5:35A2A972906D842DE01E4F15FCAABEB4
  • c:\program files\dslifestyle\ps.exe (40,960バイト)
MD5: 4938F97767215BA4C00B51EFA30FAAB5
  • c:\program files\dslifestyle\setup.exe (71,680バイト)
MD5: 9A230CBEA315950A4E3DF7519DD138FC
  • c:\program files\dslifestyle\setup.ini (サイズ、MD5は不定)
  • c:\program files\dslifestyle\html\
このフォルダには複数の.gifファイルが格納されています(名前は不定)。

レジストリ

・以下のレジストリキーが作成されます。

  • hkey_local_machine\software\microsoft\windows\currentversion\run\oe_drop_spam= "C:\Program Files\DropSpam\oesrv.exe"
  • hkey_current_user\software\dropspam
  • hkey_current_user\software\dropspam\home="C:\Program Files\DropSpam\"
  • hkey_current_user\software\microsoft\office\outlook\addins\ewwotb.addin.1
  • hkey_local_machine\software\classes\ansmtp.masssender.1="MassSender Class"
  • hkey_local_machine\software\classes\ansmtp.masssender="MassSenderClass"
  • hkey_local_machine\software\classes\ansmtp.obj.1="OBJ Class"
  • hkey_local_machine\software\classes\ansmtp.obj="OBJ Class"
  • hkey_local_machine\software\classes\appid\{54ac0313-c709-4f55-a430-ec7e89f74665}="oesrv"
  • hkey_local_machine\software\classes\appid\oesrv.exe\appid="{54AC0313-C709-4F55-A430-EC7E89F74665}"
  • hkey_local_machine\software\classes\appid\oesrv.exe
  • hkey_local_machine\software\classes\clsid\{1d95d4b4-f3de-4bde-af1d-219b23b58986}="OERebar Class"
  • hkey_local_machine\software\classes\clsid\{253664fb-edfc-4ac6-bd69-b322f466aeed}="OBJ Class"
  • hkey_local_machine\software\classes\clsid\{2dea8791-c2b7-48e1-8992-8e8e6a6fe789}="Drop Spam Toolbar"
  • hkey_local_machine\software\classes\clsid\{3058b2ea-a146-451a-916a-a5dcce7fa0b7}="DropSpam"
  • hkey_local_machine\software\classes\clsid\{5d50d513-e136-4f9f-b610-c7805e5f2491}="PopCounter Class"
  • hkey_local_machine\software\classes\clsid\{887a577b-406b-48ff-80cb-70752bfcd7b4}="MassSender Class"
  • hkey_local_machine\software\classes\clsid\{88b79166-13ab-4d04-aee8-7ab1cde75d7e}="OEInterface Class"
  • hkey_local_machine\software\classes\ewwie.band.1="Drop SpamToolbar"
  • hkey_local_machine\software\classes\ewwie.band="Drop Spam Toolbar"
  • hkey_local_machine\software\classes\ewwie.popcounter.1="PopCounterClass"
  • hkey_local_machine\software\classes\ewwie.popcounter="PopCounterClass"
  • hkey_local_machine\software\classes\ewwotb.addin.1="DropSpam"
  • hkey_local_machine\software\classes\ewwotb.addin="DropSpam"
  • hkey_local_machine\software\classes\interface\{1e98666f-6260-42c9-b846-32b20fdefe7b}="IMassSender"
  • hkey_local_machine\software\classes\interface\{1fa6a0f9-705d-4c47-b67c-f12d5f171470}="IBand"
  • hkey_local_machine\software\classes\interface\{34dae02f-aac8-4a32-a188-7444bcdae162}="IAddin"
  • hkey_local_machine\software\classes\interface\{4cd72ddb-061e-4366-8a47-babde2dcdba0}="IPopCounter"
  • hkey_local_machine\software\classes\interface\{68b8dcdb-efa4-420a-bb8a-71b9892a2063}="IOBJ"
  • hkey_local_machine\software\classes\interface\{a3080819-9a46-4acf-aa24-b34d59715c5e}="IOEInterface"
  • hkey_local_machine\software\classes\interface\{a5f6c90c-abe4-4c57-a421-8c5a202aa9f8}="_IEventThreadObjEvents"
  • hkey_local_machine\software\classes\interface\{a7c16b8f-9eea-4e6b-abf8-34e492e14019}="IOERebar"
  • hkey_local_machine\software\classes\interface\{b13281cf-8778-4c98-ae23-abba4637a33d}="_IMassSenderEvents"
  • hkey_local_machine\software\classes\oehk.oerebar.1="OERebar Class"
  • hkey_local_machine\software\classes\oehk.oerebar="OERebar Class"
  • hkey_local_machine\software\classes\oesrv.oeinterface.1="OEInterface Class"
  • hkey_local_machine\software\classes\oesrv.oeinterface="OEInterface Class"
  • hkey_local_machine\software\classes\typelib\{8220059c-d959-4f27-b559-179a8c5efdc1}
  • hkey_local_machine\software\classes\typelib\{9ca78f1b-ee6b-4fd0-84e0-794d58a51496}
  • hkey_local_machine\software\classes\typelib\{cc1074c2-0ca2-408e-81f9-ca8ad68d31a9}
  • hkey_local_machine\software\classes\typelib\{de6317f7-6ef0-45c2-88d1-8e09415817f1}
  • hkey_local_machine\software\classes\typelib\{f45e6252-3fb8-4876-b185-cdc91f42165d}
  • hkey_local_machine\software\microsoft\internet explorer\toolbar\{2dea8791-c2b7-48e1-8992-8e8e6a6fe789}=
  • hkey_local_machine\software\microsoft\internet explorer\extensions\{b6e649fa-5461-40d7-ab4d-54fc3c8db767}="Drop SpamToolbar"
  • hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{2dea8791-c2b7-48e1-8992-8e8e6a6fe789}
  • hkey_local_machine\software\microsoft\windows\currentversion\uninstall\drop spam
  • hkey_local_machine\software\microsoft\windows\currentversion\uninstall\internet explorer toolbar - dropspam

・Adware-DropSpamのある亜種は以下のレジストリ項目を作成しました。

  • hkey_local_machine\software\microsoft\windows\currentversion\uninstall\lifestyle . dropspam
  • hkey_local_machine\software\microsoft\windows\currentversion\run\dropspam lifestyle=""C:\Program Files\dslifestyle\dslifestyle.exe""

・以下のレジストリキーが改変されます。

  • hkey_current_user\software\microsoft\search assistant\defaultsearchurl="http://sidesearch.dropspam.com/search.cgi?source=side&query="
  • hkey_current_user\software\microsoft\internet explorer\main\startpage="http://my.dropspam.com/"
  • hkey_current_user\software\microsoft\internet explorer\main\search page="http://sidesearch.dropspam.com/sidesearch.htm"
  • hkey_current_user\software\microsoft\internet explorer\main\search bar="http://sidesearch.dropspam.com/sidesearch.htm"
  • hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\\proxybypass="1"
  • hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\\intranetname="1"
  • hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\\uncasintranet="1"
  • hkey_local_machine\software\microsoft\internet explorer\main\search page="http://sidesearch.dropspam.com/sidesearch.htm"
  • hkey_local_machine\software\microsoft\internet explorer\search\searchassistant="http://sidesearch.dropspam.com/sidesearch.htm"
ネットワークへの影響

・PUPコンポーネントのダウンロードにより、帯域幅の負荷が増します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・Adware-DropSpamはウイルスやトロイの木馬ではありません。

TOPへ戻る

感染方法

・Adware-DropSpamはウイルスやトロイの木馬ではありません。

TOPへ戻る