Claro Search 再び!

Hi-JACKING HOT SPOT

灯台下暗しなんていいますけれど、おかげさまで昨日 Claro Search ツールバーをインストールできました。この記事で最初にレポートしたやつもう一度感染して確かめたいとずっと探し続けて、やっと見つけた!ご存知のように、ブラウザ・ハイジャッカーというタイプのマルウェアです。皆さん削除に苦労されているあれですよ。

まさかの場所でClaroとこんにちは

どこで見つけたかというと、前回 Claro Search に感染した後にダウンロードして愛用しているエディター PSPad のインストールパッケージです。Zip ファイルを解凍して使うタイプのPortable版には入っていないのですが、Installer版だとインストールの途中で、Claro 入れますかって聞いてきます。というか、チェックボックスをチェックしないと PSPad をインストールできないんです。

ダウンロードは、http://www.downloadbestsoft.com/ というサイトからになっているんですが、どうも Claro をインストールすることが「アフィリエイト」になっているらしいんですよね。

今回は仮想マシン上のWindowsXPで感染させたので、削除しないで飼ってます。削除する方法は他のブログでも紹介しているので、そちらを見てください。

  • こいつは Claro に感染する!
    http://www.downloadbestsoft.com/download/pspad457inst_en.exe
  • こっちは大丈夫。
    http://www.downloadbestsoft.com/download/pspad457en.zip
  • PSPad
    http://www.pspad.com/

実録Claro感染の道のり

PSPadインストーラを実行

ClaroP01

Claro Searchを設定しないとインストールできないよ

ClaroP04

RegClean Proも入れないと進めないよ

ClaroP05

Claro Searchに変更する?

ClaroP07

IEにClaro Search入りました(涙)

ClaroP08

アフィリエイトつきのホームページURL

ClaroP09-2

IEのツールバーがこうなっている

ClaroP10-2

IEの検索プロバイダも

ClaroP11-2

書きかえられたレジストリ

インストール前後で書きかえられたレジストリの中から抜粋して以下に掲載しておきますので参考にしてください。RegDiffというフリーソフトで差分を調べました。Windows XP の場合です。Windows vista/7 などではまた違っているでしょうし、私が前回経験した RunOnce で毎度登録される悪さはしていないようで、いろいろなパターンがあるみたいです。

ClaroP12

[HKEY_LOCAL_MACHINE\SOFTWARE\Babylon\Babylon Client\DefaultSettings]
"SetSearch"=dword:00777014

[HKEY_LOCAL_MACHINE\SOFTWARE\Claro LTD\claro\Instl]
"InstallDir"="C:\\Program Files\\Claro LTD\\claro\\1.8.8.5"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}\Instl\Data]
"hp_url"="http://www.claro-search.com/?affID=120129&babsrc=HP_ss&mntrId=08010b160000000000000003ff136a64"
"sp_name"="Claro Search"
"sp_url"="http://www.claro-search.com/?q={searchTerms}&affID=120129&babsrc=SP_ss&mntrId=08010b160000000000000003ff136a64"
"tb_url"="http://www.claro-search.com/?q={searchTerms}&affID=120129&babsrc=TB_ss&mntrId=08010b160000000000000003ff136a64"
"nt_url"="http://www.claro-search.com/?affID=120129&babsrc=NT_ss&mntrId=08010b160000000000000003ff136a64"
"kw_url"="http://www.claro-search.com/?affID=120129&babsrc=KW_ss&mntrId=08010b160000000000000003ff136a64&q="
"hrdId"="08010b160000000000000003ff136a64"
"instlDay"=dword:00003d88
"vrsni"="1.8.8.5"
"afltId"="babsst"
"aflt"="babsst"
"smplGrp"="none"
"tlbrId"="base"
"instlRef"="sst"
"vrsnTs"="1.8.8.511:52:06"
"tlbrSrchUrl"=""
"uninstallAll"="true"
"autoRvrt"="false"
"rvrt"="false"
"admin"="false"
"postUninstall"="http://info.claro-search.com/uninstallthankyou.html"
"newTab"="false"
"dpblck"=""
"ds_url"=""
"excTlbr"="false"
"uninstExt"="false"
"dsIE"=""
"dsFFX"="Claro Search"
"dpk"="915142dfe1c08b1dde2e854b346abbc8"
"dfltLng"="en"
"uninstaller"="C:\\Program Files\\Claro LTD\\claro\\1.8.8.5\\uninstall.exe"
"OBPID"="103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{000F18F2-09EB-4A59-82B2-5AE4184C39C3}]
@="Claro LTD Helper Object"
"AppID"="{09C554C3-109B-483C-A06B-F14172F1A947}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{000F18F2-09EB-4A59-82B2-5AE4184C39C3}\InprocServer32]
@="C:\\Program Files\\Claro LTD\\claro\\1.8.8.5\\bh\\claro.dll"
"ThreadingModel"="apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05340575-7D2A-4266-9A84-7EEBDC476884}\InprocServer32]
@="C:\\Program Files\\Claro LTD\\claro\\1.8.8.5\\claroEng.dll"
"ThreadingModel"="apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\dcillohgikpecbmgioknapdpcjofaafl]
"path"="C:\\Documents and Settings\\XPMUser\\Application Data\\Claro\\claro.crx"
"version"="1.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph]
"path"="C:\\Documents and Settings\\All Users\\Application Data\\BrowserProtect\\2.6.1095.52\\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\\BrowserProtect.crx"
"version"="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="http://www.claro-search.com/?affID=120129&babsrc=NT_ss&mntrId=08010b160000000000000003ff136a64"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{60295942-9E5F-4EE8-B785-3A655904D24F}]
"Policy"=dword:00000003
"AppName"="clarosrv.exe"
"AppPath"="C:\\Program Files\\Claro LTD\\claro\\1.8.8.5"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9E131A93-EED7-4BEB-B015-A0ADB30B5646}"="Claro LTD Toolbar"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000F18F2-09EB-4A59-82B2-5AE4184C39C3}]
@="Claro LTD Helper Object"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Documents and Settings\\XPMUser\\Application Data\\Claro\\"=""
"C:\\WINDOWS\\Installer\\{069B290F-5398-4629-A009-85B4BCB4B1B9}\\"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\claro]
"DisplayName"="Claro toolbar  "
"UninstallString"="\"C:\\Program Files\\Claro LTD\\claro\\1.8.8.5\\GUninstaller.exe\" -uprtc -aname='Claro Toolbar' -bname=clr -key \"claro\""
"DisplayIcon"="\"C:\\Program Files\\Claro LTD\\claro\\1.8.8.5\\clarosrv.exe\""
"DisplayVersion"="1.8.8.5"
"Comments"="Claro toolbar  "
"Publisher"="Claro LTD"
"NoModify"=dword:00000001
"NoRepair"=dword:00000001
"EstimatedSize"=dword:000009c4
"OrigUninstString"="\"C:\\Program Files\\Claro LTD\\claro\\1.8.8.5\\uninstall.exe\""

[HKEY_USERS\S-1-5-21-1414948342-2329033104-2746332469-1003\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.claro-search.com/?affID=120129&babsrc=HP_ss&mntrId=08010b160000000000000003ff136a64"
"Window_Placement"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,5a,00,00,00,00,00,00,00,bd,03,00,00,e2,02,00,\
  00
"bProtector Start Page"="http://www.claro-search.com/?affID=120129&babsrc=HP_ss&mntrId=08010b160000000000000003ff136a64"

Photo by hmvh
Creative Commons Attribution-ShareAlike 2.0 Generic license

You can skip to the end and leave a response. Pinging is currently not allowed.
Subscribe to RSS Feed Twitter は Ume108 だよ