Adware/Sitelimitは、ActiveXのようにユーザーにインストールを誘導し、インストールプロセスは表示しないなど、隠蔽的にインストールされる不正アクセスである。インストールしてからは、ユーザーの意図とは関係なく、ユーザーの入力情報を盗み出し、特定のサイトに転送する。尚、ユーザーがプログラムを削除しようとすると、ユーザー認証を要求し、削除できないようにする不正アクセスである(デフォルトは1234)。
これは
・ウェブブラウザのホームページ設定や検索の設定を変更またはシステムの設定を変更する行為
・正常プログラムの起動を妨害、中止または削除する行為
・ユーザーがプログラムを削除または終了してもそれが出来なくさせる行為
として考えられる。
「生成ファイル」
%prog%\sitelimit\sitelimit.cfg
%prog%\sitelimit\sitelimit.exe
%prog%\sitelimit\slupd.exe
%prog%\sitelimit
%system%\SiteProt.dll
%system%\sluninstall.exe
%system%\SiteDB.dll
%system%\SiteDB_SW.dll
%system%\sw_deny.swb
%system%\sw_pass.swb
「生成レジストリ」
HKEY_CURRENT_USER\software\slexe
HKEY_CLASSES_ROOT\CLSID\{BA60E68E-2AD9-429D-BF9F-25D9DF25C767}
HKEY_CLASSES_ROOT\TypeLib\{B3B0D3BB-33A0-4954-9E55-AE1C5EAC0CFF}
HKEY_CLASSES_ROOT\Interface\{4F1A0C2D-D346-424B-AA9A-6263A91D70EC}
HKEY_CLASSES_ROOT\SiteProt.SiteProtObj
HKEY_CLASSES_ROOT\SiteProt.SiteProtObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\slimit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows-site security (KS82381)
HKEY_*_*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run slimit
HKEY_*_*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 有害サイトの遮断
パスは以下を参照する。
%windows%
c:\windows
%program%
C:\Documents and Settings\(username)\スタートメニュー\プログラム
%system%
C:\windows\system32
%prog%
C:\Program Files
%currentuser%
C:\Documents and Settings\(username)
%startmenu%
C:\Documents and Settings\(username)\スタートメニュー
ユーザーの同意なく、BHOとしてインストールされ、キーワードを監視するアドウェアである。/
|
