製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:A
ウイルス情報
ウイルス名危険度
Adware-Qoolaid
企業ユーザ: N/A
個人ユーザ: N/A
種別プログラム
最小定義ファイル
(最初に検出を確認したバージョン)
4365
対応定義ファイル
(現在必要とされるバージョン)
4628 (現在7593)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2007/03/20
発見日(米国日付)2004/06/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
配布

・Adware-QoolaidはInternet Explorerの使用中にポップアップ広告を作成するダイレクトマーケティングアプリケーションです。

・確認されている限り、インストールプログラムの実行時に他のソフトウェアがインストールされることはありません。他のアプリケーションにバンドルされている場合、そのインストーラによって表示されることはありますが、Adware-Qoolaidのインストール中には使用許諾契約は表示されません。Adware-Qoolaidは自己保持型で、自身の実行ファイルへの複数の参照を使用して、システムに常駐します(スタートアップ項目、レジストリキー)。また、一部のファイルを隠してWindows Explorerに表示されないようにし、必要に応じてファイルを再ロード、再作成します。さらに、プロセスもタスクマネージャに表示されないよう隠します。

・インストール後、広告ネットワークのclkoptimizer.comから引き出したポップアップ広告を生成します。

・実行時、インストーラは以下のランダムな名前のファイルを作成します(以下の名前はその一例です)。
C:\Windows\System32\wkqyik.exe
C:\Windows\System32\hqxpzq.exe
C:\Windows\System32\easqoa.dll
C:\Windows\System32\cpigwp.dll
C:\Windows\System32\pvgqav.dat
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\hnfyun.exe

・インストーラが終了すると、作成したwkqyik.exeを起動します。
C:\Windows\hgkang.dll

プライバシー

・Adware-Qoolaidはプログラムの動作を追跡するUUIDを作成します。

・hgkang.dll(実際にはDLLではありません)にはこのUUIDのコピーが格納されています。
"[GENERAL]
test_write=sd_test
uuid=a5428d3a-dd13-48c4-9748-87934e46f3c5"

・また、以下のレジストリにもUUIDが書き込まれます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

システムの改変

ファイルの追加

c:\Documents and Settings\All Users\Start Menu\Programs\Startup\hnfyun.exe
c:\WINDOWS\system32\pvgqav.dat
c:\WINDOWS\system32\wkqyik.exe
サイズ:32,768バイト
MD5: F24FE041D3E3344BA056C32D89E3F1D7

c:\WINDOWS\hgkang.dll
サイズ:不定
MD5:不定

c:\WINDOWS\system32\cpigwp.dll
サイズ:5,632バイト
MD5:E432F8E8E7EFDE01A8F18D72A3278C42

c:\WINDOWS\system32\easqoa.dll
サイズ:24,576バイト
MD5:2FCF3D26E38BF0EF0D1A3DC3A1BAEB49

c:\WINDOWS\system32\hqxpzq.exe
サイズ:3,072バイト
MD5:EA395F379C8B09DC21E9B1D5FEB229E7

注:hnfyun.exe、hgkang.dll、easqoa.dll、hqxpzq.exe、wkqyik.exeはマスキングされており、Windows Explorerには表示されません(「すべてのファイルとフォルダを表示する」を選択し、「保護されたオペレーティングシステムファイルを表示しない」を無効にした場合も同様)。ただし、コマンドラインのディレクトリリストには表示されます。

レジストリの改変(最上位/上位)

キーの追加
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\fqsgnq
HKEY_CLASSES_ROOT\CLSID\{4e025b52-fe87-4d58-8750-8bcd546127a0}
HKEY_CLASSES_ROOT\CLSID\{4e025b52-fe87-4d58-8750-8bcd546127a0}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{4e025b52-fe87-4d58-8750-8bcd546127a0}\ProgId
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\a5428d3a-dd13-48c4-9748-87934e46f3c5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Narrator"

注:CLSIDキーはランダムに生成されるため、インストールごとに異なります。

値の追加
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\fqsgnq "(既定)"
データ:{4e025b52-fe87-4d58-8750-8bcd546127a0}

HKEY_CLASSES_ROOT\CLSID\{4e025b52-fe87-4d58-8750-8bcd546127a0} "(既定)"
データ:eifrei.class

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\a5428d3a-dd13-48c4-9748-87934e46f3c5 "StubPath"
データ:C:\WINDOWS\System32\hqxpzq.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Narrator"
データ:C:\WINDOWS\System32\wkqyik.exe

ネットワークへの影響

・ポップアップ広告のダウンロード(s.clkoptimizer.com)により、帯域幅が消費されます。

・構成の更新(u.clkoptimizer.com)により、帯域幅が消費されます。

--------------

・Adware-Qoolaidの前のバージョンでは以下のような動作が見られました。

インストール

・実行時、Adware-Qoolaidは「wuwbqy.dat」というファイル名で%Sysdir%ディレクトリに自身をインストールします。

(%Sysdir%は、Windowsのシステムディレクトリ(例:C:\WINDOWS\SYSTEM))

例:

c:\WINDOWS\system32\wuwbqy.dat

・以下のレジストリキーを追加して、システム起動時にフックします。

HKEY_CLASSES_ROOT\CLSID\{c923045f-9f83-4f75-83fb-2a3748fcc0a4}\InProcServer32 "(既定)" = "lulogz.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\6d55e99a-bfa6-4b5e-8096-ede5eda51779 "StubPath" = "lulwpm.exe"

駆除方法TOPへ戻る
不審なプログラムの検出と削除を有効/無効にする。