「HijackThis」実践編

0319 「O16」 Downloaded Program Filesへの登録 ▼end

☆説明

ActiveXコントロールというのを使って、"C:\WINDOWS\Downloaded Program Files"フォルダを始め、あちこちのフォルダに一連のファイルをインストールされることがあります。

典型的なものはWindowsのUpdateです。

通常、このフォルダにインストールされる場合、警告が表示されます。

例え、この例のように署名されていても、信頼できない相手の場合、「いいえ」を選択すべきなのですが、簡単に「はい」をクリックしてしまう人が多いようです。

☆ログの表示例

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

MacromediaのShockwave/Flashファイルの再生に必要なファイルをMacromediaからダウンロードします。

問題ありません。

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/jp/4,0,0,73/mcinsctl.cab

McafeeのウィルスデータのアップデートファイルをMcafeeからダウンロードします。

問題ありません。

O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab

MSOfficeのオンラインアップデートに必要なファイルをMicrosoftからダウンロードします。

問題ありません。

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/ja/big/1.1.62-big/GoogleNav.cab

Googleのツールバー関連のファイルをGoogleからダウンロードします。

問題ありません。

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター
 On-Line Scan) - http://a840.g.akamai.net/7/840/537/
76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab

ウイルスバスター On-Line Scanに必要なファイルをakamaiからダウンロードします。

問題ありません。

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37864.6066435185

Microsoftのオンラインアップデートに必要なファイルをMicrosoftからダウンロードします。

問題ありません。

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

SymantecのウィルスデータのアップデートファイルをSymantecからダウンロードします。

問題ありません。

O16 - DPF: {D53B810F-6219-11D4-95B6-0040950375E7} - http://www.sexmaniacs.com/bikini/dialer_activex.cab

アダルトサイトの登録例です。

ダイアラーがインストールされるんでしょうか。

通常、ダイアラーは"C:\Program Files"フォルダに「dialer」というフォルダをつくり、ダイアルソフトをインストールします。

普通のダイアルソフトの場合、このフォルダを削除してしまえば、被害を避けることが出来ます。

そして、そのダイアルソフトを起動するプログラムを削除すれば綺麗になります。

しかし、DPFにこの設定があると、この設定を参照して、一連のプログラムが再インストールされてしまいます。

一旦、このフォルダにファイルがインストールされると、登録サイトからのダウンロードがフリーパスになってしまいます。

もしここへ、悪質なファイルが入ると、エキスプローラ等で消しても消しても生き返る、ゾンビソフトが住み着いたような状態になってしまいます。

何度削除してもリンク先から、何の警告もなく、再インストールされてしまうのです。

☆対応

絶対的に信頼できる相手のActiveXコントロール以外、絶対にインストールしないようにしましょう。

どうしてもインストールしたい場合は、それなりのリスクがあることを認識してください。

信頼できるもの以外、「HijackThis」のログで「Fix」してください。

☆アンインストーラー

通常のソフトには、アンインストーラーというのが付いていて、プログラムやレジストリ設定を、安全に綺麗に掃除してくれるのですが、なぜか、この種のソフトには、それがありません。

もし、アンインストールが必要であれば、「HijackThis」等、特殊なプログラムを使うか、手作業で一連のプログラムと設定を削除、復旧する必要があります。

参照(ブラウザーの「戻る」で、この画面に戻ってください。)

ActiveXコントロール

 

☆ActiveXコントロール

C:\WINDOWS\Downloaded Program Files"フォルダを開きます。

ファイルを選択して、右クリック

「全般」画面に、このコントロールの概要が表示されます。

また、「バージョン」画面を開くと、会社名等の表示があり、信頼できる会社かどうかが表示されます。

以下、ここで取り上げる実例は「ウィルスバスター On-Line-Scan」の例ですが、このActiveXコントロールは有害ではありません。

決して誤解のないようにお願いします。

☆依存関係

「依存関係」タブを開くとこのコントロールと依存関係にあるファイルが表示されます。

これらのファイルを覗いてみるとActiveXコントロールの仕組みが、少しは、わかってくるようです。

このフォルダは特殊なフォルダでエキスプローラでは通常の操作が出来ません。

DOS画面でこのフォルダを開いてみると、いろいろなことがわかります。

「Xscan.inf」というインストーラーが重要な働きをしています。

残念ながら、私の力では、これ以上の解析は出来ません。

しかし、この仕組みを使えば、どんなソフトでも自由に、しかも、無警告で、インストールできるということはわかっていただけると思います。

さらに、URLでリンクされている「Cab」ファイルの中身を替えて、何でもできるということです。

ただし、「ウィルスバスター On-Line-Scan」は正当なActiveXですので、ユーザーに害を与えるということはありません。

☆Xscan.inf

[version]
; version signature (same for NT and Win 95) do not remove
signature="$CHICAGO$"
AdvancedINF=2.0

[Add.Code]
; add for downloading necessary MFC ActiveX Dlls
msvcrt.dll=msvcrt.dll
mfc42.dll=mfc42.dll
xscan53.ocx=xscan53.ocx
patchw32.dll=patchw32.dll
aupatch.dat=aupatch.dat
auunzip.dat=auunzip.dat
auupdate.dat=auupdate.dat
runtsckl.exe=runtsckl.exe
tmupdate.ini=tmupdate.ini
aucfg.ini=aucfg.ini
loadhttp.dll=loadhttp.dll
;TmUpdate.dll=TmUpdate.dll

[xscan53.ocx]
file-win32-x86=thiscab
clsid={74D05D43-3236-11d4-BDCD-00C04F9A3B61}
FileVersion=5,70,0,1069

[AuUpdate.dat]
;file=thiscab
;FileVersion=1,8,0,1098
;DestDir=10
hook=auupdate.hook

[runtsckl.exe]
file=thiscab
FileVersion=1,00,0,0001
DestDir=10

[loadhttp.dll]
file=thiscab
FileVersion=1,32,0,1000
DestDir=10

[patchw32.dll]
file=thiscab
FileVersion=5,1,0,0
DestDir=10

[auunzip.dat]
;file=thiscab
;FileVersion=
;DestDir=10
hook=auunzip.hook

[aupatch.dat]
;file=thiscab
;FileVersion=
;DestDir=10
hook=aupatch.hook

[tmupdate.ini]
file=thiscab
FileVersion=
DestDir=10

[aucfg.ini]
file=thiscab
FileVersion=
DestDir=10

; dependent DLLs
[msvcrt.dll]
FileVersion=4,20,0,6164
hook=mfc42installer

[mfc42.dll]
; VC 5.0 SP3 or above version
FileVersion=4,21,0,7303
hook=mfc42installer

[mfc42installer]
file-win32-x86=http://activex.microsoft.com/controls/vc/mfc42.cab
run=%EXTRACT_DIR%\mfc42.exe

[xscan]
ad_url=http://www.antivirus.com/housecall/ad/0001.html
home_url=http://www.antivirus.com
virus_encyclopedia=http://www.antivirus.com/vinfo
mail_to=webmaster@trendmicro.com

[auunzip.hook]
run=%EXTRACT_DIR%\auunzip.dat

[aupatch.hook]
run=%EXTRACT_DIR%\aupatch.dat

[auupdate.hook]
run=%EXTRACT_DIR%\auupdate.dat

≪Prev ▲Top Next≫

end

Ads by TOK2