悪代官の伏魔殿掲示板
Awesomehpでお悩みの皆様はまずお読みください
最近、Awesomehpと言うものが流行の兆しを見せています。
これまでこのマルウェアについて調査してきた結果を、
ここにまとめたいと思います。
ただし、以下に記載する情報については、すべての方に該当するとは限りませんので、
こちらで対応しかねる状況になっている可能性が十二分にありますこと、
あらかじめご了承いただけますよう、お願い申し上げます。
また、本内容には推測部分が多数含まれておりますこと、重ねてご了承ください。
さらに、会社名を名指しすることがございますが、それらはいずれも
推測の域を脱せずして語っている点につきまして、なにとぞご承知ください。

それでは以下に、悪代官さん(知恵袋名:akuda_ikan)と私(知恵袋名:gimp2_6、現在ivno_chiebukuro)とで粘り粘って出た結論を残します。

■Awesomehpの種類
Awesomehpとは、潜入したPCに、潜入時の最初の1度に限り、
Webブラウザのショートカットを改ざんし、
AwesomehpのWebページを表示させる設定に書き換える、
ショートカット改ざん型と呼ばれるマルウェアです。

■Awesomehpの活動
Awesomehpは、PCに潜り込むとすぐに、
Internet ExplorerやGoogle ChromeやMozilla Firefoxなどの
Webブラウザへのショートカットを検索し、
本来のリンク先に追加してAwesomehpのページが起動するように、
それらのショートカットの内容を改ざんします。
Awesomehpは最初にPCに取り込まれた直後にのみ改ざんを行い、
それ以降はどのようなタイミングでも動作せず、
ただPC内部に残り続けます。

■Awesomehpの駆除(Google Chromeを含む各ブラウザ共通)
マルウェアを駆除するためのソフトを用いて、マルウェアの駆除を行えます。
ただし、Awesomehpは有料のマルウェア駆除ソフト制作会社などが作成した可能性があり、
Awesomehpを削除したければ有料版を買えと言う煽り商法の道具であると推測されます。
そのため、2度目以降は動作しなくともPC内部に残り続けているのです。
こちらも推測の域を脱しませんが、恐らくAwesomehpとの関連性のある会社は、
SpyHunterと言うソフトを提供しているEnigmaが関連しているのではないかと思われます。
ちなみにその根拠は状況証拠になりますが、
Awesomehpが出現してすぐにソフト側が本マルウェアに対応し、
かつ有料版を購入しなければ削除できないと言う旨を表示させていました。
順当に考えれば、ほかのどのソフトよりかも早く新種マルウェアに対応することは、
そのマルウェアを使ってソフトを売り込む計画だったと仮定した場合、
当然の措置ということになります。
他社より遅かったら意味がありませんから。
ということで、上記のソフトとAwesomehpが関連性があると言う状況証拠により、
上記の内容を暫定的ですが記載いたします。
ですので、上記有料版ソフトのご購入は推奨できません。
ただし、個人的にご購入される場合には、止めはしません。
駆除ツールにつきましては、こちらでのご案内は控えさせていただきたいと思います。
以下に応急処置の方法を記載しますが、これだけでは不完全です。
またGoogle Chromeの場合は、この作業を行う前に、下記のGoogle Chromeのみの作業を、
まずはじめに行ってから、本作業に入ってください。
また、プロパティを開くための方法を下記に記述しておりますので、
開き方が分からない方は参考になされてください。
Awesomehpのページが表示される場合は、Webブラウザのショートカットを右クリックし、
プロパティを開き、リンク先をご確認くださいませ。
そこに、httpから始まるURLが記載されていると思いますので、
そちらをすべて削除します。
削除が完了しましたら、OKを押してプロパティを閉じます。
ご利用中のWebブラウザすべての設定が書き換えられていると思われますので、
同じ手段ですべてのブラウザのリンク先を修正してください。

■Awesomehpの駆除(Google Chromeのみの作業)
Google Chromeを開き、画面右上にある三のようなマークをクリック、
または、Altを押しながらFキーを押します。
設定をクリックして設定ページを開きます。
特定の 1 つのページまたは複数のページを開くの横にある、
ページを設定をクリックして開きます。
Awesomehpに関するリンクを削除し、OKを押します。
設定画面に戻ったら、検索の項目に移動し、検索エンジンの管理をクリックします。
Awesomehp以外の任意の検索エンジンを規定に設定し、Awesomehpを削除します
完了をクリックして終了させます。
削除が完了したら、左側にある拡張機能をクリックし、
すべての拡張機能を削除します。

本作業が完了しましたら、共通作業を行ってください。

■ブラウザのプロパティの開き方、編集方法の詳細
Yahoo!知恵袋におきまして、プロパティの開き方と、
その編集方法が分からないとの連絡を受けましたので、
作業方法を以下に記載いたします。
スタートボタンを押し、すべてのプログラムを開きます。
Webブラウザのアイコンがありますので、それを右クリックし、
プロパティをクリックして開きます。
Google Chromeの場合は、Google Chromeと言うフォルダの中に、
Google Chromeのアイコンがありますので、そちらを右クリックし、
プロパティを開きます。
Internet Explorerを例に挙げて説明いたします。
リンク先の項目の部分にあるアドレスをご確認ください。
"C:\Program Files\Internet Explorer\iexplore.exe" http://www.awesomehp.com/?type=sc&ts=以下略
このようになっているかと思われます。
こちらを以下のように修正します。
"C:\Program Files\Internet Explorer\iexplore.exe"
これが上で書いておりました、httpから始まるURLの部分だけを削除する方法です。
つまり逆に言えば、正規リンク先だけを残すと言うことになります。

以上、ここまでのまとめでした。
2014/02/03追記
2014/02/04追記
2014/02/09追記
新たに情報が入りましたら、加筆修正を行いたいと思います。
  • gimp2.6
  • MAIL
  • 2014/02/02 (Sun) 19:37:02
感謝をこめてageレスです
gimp2.6さんが今回上げてくださった説明をもとに、急きょ知恵袋で以下のまとめページをupしてみました。
http://note.chiebukuro.yahoo.co.jp/detail/n249697
「不審サイト「Awesomehp」の削除方法について」

自力解決を目指す方は、よければこちらのページも参考にどうぞ
  • 悪代官
  • 2014/02/03 (Mon) 16:33:25
【編集しました】では以降は普通にsageましょう
おはようございます。
MFT領域への侵入ですか。
ルートキットは確かに一般のセキュリティソフトでは通用しないのが常です。
高性能で知られるMBAMとSASでそれぞれルートキットに決定打の処置できたこともありますが、これでさえ通用しなかった事例も多数ありました。
現状危険が少ないルートキット対処ツールはやはりカスペのTDSSKillerあたりでしょうか。

Symantecのノートンパワーイレイサーに至っては誤検出の危険が高いので自分はまず勧めませんし、これを使うならリカバリの準備と覚悟したうえで自己責任でとなります。
ベンダーのNortonコミュニティでさえ社の担当者が、守備範囲外のアダルトサイトのワンクリウェアにNPEを勧めるレスしたのを見て以来、NPE自体の信頼性を感じなくなりました

【追記】
>そろそろこちらの記事を下げる方向で動きませんか?

はい、ではこのあとは自分もageレスは止めておきます。
さて、今後はAwesomehpもどんな名前で衣替えしてくるでしょうかね
  • 悪代官
  • 2014/02/06 (Thu) 09:30:43
本記事に質問をするのはお控えください
本記事は資料として記述させていただいておりますため、
質問がございましたら、以下URLを参考に、HJTとCCのログを取得していただき、
新規投稿よりログ情報を貼り付けてご連絡ください。
http://akudaikan-0.bbs.fc2.com/?act=reply&tid=4886904#10808884
なお、こちらに書かれました投稿につきましては、内容の如何を問わず、削除させていただきます。
  • IVNO
  • MAIL
  • 2014/02/19 (Wed) 05:50:41

返信フォーム






プレビュー (投稿前に内容を確認)