ウイルス情報

ウイルス名 危険度

Adware-Softomate

企業ユーザ: N/A
個人ユーザ: N/A
種別 プログラム
最小定義ファイル
(最初に検出を確認したバージョン)
4420
対応定義ファイル
(現在必要とされるバージョン)
4989 (現在7656)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2007/03/30
発見日(米国日付) 2007/03/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Adware-Softomateは有害な可能性のあるプログラム(PUP)です。ウイルスやトロイの木馬ではありません。PUPはセキュリティやプライバシーに関心のあるコンピュータユーザが情報を得たいと思うソフトウェアです。

TOPへ戻る

ウイルスの特徴

・McAfee(R) AVERT(TM)は、許可された管理者が承知してアプリケーションをインストールするという意味では、Adware-Statrafonが合法であると認識しています。Adware-Statrafonまたは別の付属アプリケーションの使用許諾契約に合意すると、Adware-Statrafonの削除、Adware-Statrafonを使用しない状態でのホストアプリケーションの使用に関する法的義務を負うことになります。詳細はAdware-Statrafonのベンダーにお問い合わせください。

・ウイルス定義ファイルに追加された検出プログラムのリストについては、http://vil.nai.com/vil/DATReadme.aspxを参照してください。

・合法的にインストールされたプログラムを有効、無効に設定する方法、検出の対象から除外する方法については、http://www.mcafee.com/japan/security/configuration.aspを参照してください。

配布

・Adware-Softomateはウイルスやトロイの木馬ではありません。「有害な可能性のあるプログラム」として検出されます。 Adware-Softomateは、Internet Explorerにインストールされるツールバーで、そのホームページは、www.anquiro.comと指定されています。

・HOSTファイルが付加されます。HOSTファイルに記載されているWebサイトにアクセスすると、Webトラフィックが無効なアドレスにリダイレクトされ、一部のウイルス対策ベンダーのWebサイトにアクセスできなくなります。固有のIDが生成され、リモートサーバに送信されます。アナリストの間では、コントロールサーバが、要求されたコンテンツやアプリケーションに応答するようホストしていないことは明らかです。ツールバーからの全てのリクエストは、“not found”として404エラーになり、サーバの応答は無意味であることが判明しています。

・インストールの際に、使用許諾契約に関するメッセージは表示されません。anquiro.comのサイトには、いかなるEULAや契約へのリンクも見つかりません。

・様々なバージョンのソフトウェアが存在します。亜種については、Adwere-software.dllをご参照ください。

プライバシー

・インストール時にプライバシーポリシーが表示されます。作者のWEBサイト(http://www.anquiro.com/privacypolicy.htm)に掲示されているポリシーがありますが、インストール時には何の指示も表示されません。

・Adware-Softomateは、閲覧中に、サードパーティのサーバへ閲覧データを送信します。固有のIDが生成されます。調査の際、ツールバーがコントロールサーバに接続しようとする様々な手段を行うことがわかっていますが、404エラーの応答しかありません。サーバが正しく動作した場合、完全に動作するかは判明していません。

システムの変更

通常の初期設定の典型的なパス変数

%WinDir% = \WINDOWS (Windows 9x/ME/XP), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM32 (Windows 9x/ME/XP), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files

ファイルの追加
  • Installer: a0140560.exe (217 KB)
  • MD5: 81A5C04423A4C81C5BF54657059FBA6F c:\program files\aniquro\anquiro.dll (416 KB)
  • MD5: C1BF0371FB36F4399317163FAF0CD230 c:\program files\aniquro\anquiro.inf (1 KB)
  • c:\program files\aniquro\version.txt (1 KB)
  • c:\program files\aniquro\toolbar.crc (1 KB)
  • c:\program files\aniquro\newversion.txt (1 KB)
  • c:\program files\aniquro\nav.bmp (13 KB)
  • c:\program files\aniquro\favicon.ico (1 KB)
  • c:\program files\aniquro\cache\522ea8a804a3e7e4b93df15a1539fc53.xml (name and size may vary)
  • c:\program files\aniquro\basis.xml (16 KB
レジストリ

・以下のレジストリキーが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\XBTB00000.XBTB00000IEToolbar
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
    \{A4F64D63-3576-4754-8DD5-4D0A49345FD5}
  • HKEY_CURRENT_USER\Software\XBTB00000
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
    "{A4F64D63-3576-4754-8DD5-4D0A49345FD5}"="(16進数)"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
    "{A4F64D63-3576-4754-8DD5-4D0A49345FD5}"="8194"
  • HKEY_CLASSES_ROOT\XBTB00000.XBTB00000.1
  • HKEY_CLASSES_ROOT\XBTB00000.XBTB00000
  • HKEY_CLASSES_ROOT\XBTB00000.IEToolbar.1
  • HKEY_CLASSES_ROOT\XBTB00000.IEToolbar
  • HKEY_CLASSES_ROOT\TypeLib\{5680210F-3D26-449E-9EF5-D03E34C894D9}
  • HKEY_CLASSES_ROOT\Interface\{FABBB49A-4D7B-415B-8250-15C3B854E9FF}
  • HKEY_CLASSES_ROOT\CLSID\{A4F64D63-3576-4754-8DD5-4D0A49345FD5}

・以下のレジストリキーが変更されています。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"Start Page"="http://www.anquiro.com/"
ネットワークへの影響

サードパーティのサーバに接続するため、大域に負荷がかかります。また、サイト閲覧の際に、余計なトラフィックが発生する可能性があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・Adware-Softomateはトロイの木馬ではありません。

TOPへ戻る

感染方法

・Adware-Softomateはトロイの木馬ではありません。

TOPへ戻る