Semplice - 不審なアンチスパイウェアソフトと、ZlobとCodec（コーデック）の関係

詐欺的行為によるスパイウェア対策ソフト購買強要の図式

　SpyAxeファミリー（SpyAxe・MalwareWiper・SpywareQuake・SpywareStrike・SpyFalcon）の怪しいソフトウェアは、インチキとは言いづらいものの極めて不審なソフトウェアであると前回のブログにてレポートした（SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト（Semplice））。不思議なことにこれらはほぼ同一のソフトウェアでありながら、外観が微妙に異なるのだ。
　これらが導入される経路は極めて広汎である。またZlob（trojan-dowloader.win32.zlob）なるダウンローダー系マルウェアによりユーザーの許諾を得ず、無断で導入される事例が多数報告されている。

　つまりこのような複雑な図式が成立しているのだ。
　1）まずZlobに感染させる
　2-1）複数のマルウェアと怪しいスパイウェア対策ソフトウェア（SpyAxeファミリー等）を無断で強制インストール
　2-2）この過程で「Your computer is infected!　（お前のコンピュータは感染しているぞ！）」とのバルーンポップアップを、Zlobまたは他のマルウェアが表示する
　3）怪しいスパイウェア対策ソフトを勝手に起動し多くのマルウェアを表示させ、ユーザーを脅迫
　（注：検出結果にはZlobまたはこれが導入させた他の悪質ソフトウェアが表示されるだろう）
　4）ユーザーに「マルウェアを駆除したければ、金銭を払ってSpyAxeファミリーの製品を購入しろ」と迫る。

　これらは複数の業者による関与が示唆される、極めて大規模な組織犯罪である。もちろんこれらのうちの幾つかは、中身が同じ可能性もあるが。
　1）Zlobの製造者と配布者
　2）感染者のパソコンに強制的に導入させるソフトウェア（例：SpywareQuake）製造者
　3）（ユーザーを感染させた）報酬を支払うためにtrack idの管理を行う業者
　4）Zlobが無断でダウンロードするその他のマルウェアの関係者・配布者

このブログエントリを読むに当っての注意

　記事中にて複数のコーデックの名称とこれにより作成されるダウンローダー（Zlobなど）を紹介しているが、これは複数のバージョンが存在するため、アンチウイルスソフトメーカーによる検出名や紹介した記事中の表記は同一なのかどうもわからない。またCodec（またはそれを装ったもの）そのものがダウンローダーなのか・またはCodecがダウンローダーをドロップし作成するのか否かがわからない事例も複数引用している。
　ただし、SpyAxeファミリーの妙なスパイウェア対策ソフトウェアそのものが「Your computer is infected!」のバルーンポップアップを表示するのではない点には注意してもらいたい。
　約300行の長文であるため、読み辛いならば最後のConclusionを参照してもらいたい。

コーデック（Codec）経由感染のマルウェア

　コーデックを導入したらば怪しいソフトウェアがインストールされたとの事例は、自分が音楽や動画にほとんど関心が無いためにそれほど多くの例は記憶していないのだが。
　Zlob及びこれに関連する不審なCodecについて、海外ではここ3ヶ月ばかりの間に多くの記事が生み出されている。
　CrystalysとVideo iCodecの呼称のものが関連するとの投稿も方々にあるのだが、実物を入手できていないため具体的に何を指すのかどうもよくわからない。
　またeMedia Codec 4.0については後述するが、これはパソコンにZlobを作成するドロッパーの「プログラムの追加と削除」における表示名だ。

　F-Secure社のこのwebページは、SpyAxeファミリーとダウンローダーとCodecの関係を最もよく整理して記述しているので、まずはこれを紹介する。

SpywareQuake, SpyFalcon, MalwareWipe and SpywareStrike are renamed versions of Spyaxe.
SpyAxe is an anti-spyware application sometimes installed without a user's knowledge or consent. A trojan already installed on a user's computer may show a fraudulent warning that the user is infected. (See the image below.) When the user clicks the message, the trojan will download and silently install SpyAxe. After installation, SpyAxe will detect the trojan that installed it, but without any details. The user will not be allowed to attempt cleaning of the trojan until paying for SpyAxe.
The trojan that has downloaded and installed Spyaxe is detected as Trojan-Downloader.Win32.Zlob. It has lately been masked as a Video Codec.
（和訳）
　SpywareQuake・SpyFalcon・MalwareWipe・SpywareStrikeはSpyAxeの名称を変えたバージョンです。
　SpyAxeはユーザーの認知と同意無しに配布・インストールされる、アンチスパイウェアアプリケーションである。ユーザーのコンピュータに既にインストールされたトロイは、ユーザーが感染しているとの詐欺的警告を示すかもしれない。（下の図を見なさい）　ユーザーがメッセージをクリックした時、トロイはSpyAxeをダウンロードしひっそりとSpyAxeをインストールする。インストール後に、SpyAxeはそれがインストールしたトロイを検出するが、詳細情報は提示しない。ユーザーはSpyAxeに金銭を支払うまでトロイを取り除く試みが許されないだろう。
　SpyAxeをダウンロード・インストールするトロイの木馬は、Trojan-Downloader.Win32.Zlobとして（注：F-Secure Anti-Virus により）検出される。それは（トロイは）最近Video Codecを装っている。
　F-Secure Spyware Information Pages : SpyAxe （F-Secure）

　特筆すべき事に、Sunbelt BlogはCodec経由感染に最も精力的に取り組んでおり、引用例も多い。
　（Codecやマルチメディア関連の知識が皆無な自分としては、十分に意味が通じる訳になっていない点は詫びる）

Wondering how people get to these bogus security sites and download junk like SpyAxe?
Patrick Jordan and Adam Thomas on our spyware research team have been investigating Vcodec.com.
This is bogus video utility. The file, VideoCodec3_05b, is a trojan which then starts the scam about “Your computer is infected!”.
（和訳：やや意訳）
　人々がどうやってインチキなセキュリティサイトにたどり着き、SpyAxeのようなゴミをインストールしているのかと不思議に思わないかい？
　我々のスパイウェア研究チームのPatrick JordanとAdam Thomasは、Vcodec.comを調査していた。
　これはインチキなビデオユーティリティである。
　VideoCodec3_05bは「お前のコンピュータは感染しているぞ！」との詐欺を始めるトロイの木馬である。
　（訳者注：このバルーンポップアップ表示はマルウェアが表示し、これによりSpyAxeファミリーが無断ダウンロード・インストールさせられる事例がある）
　Beware Vcodec（Sunbelt BLOG）

　配布者が多くのWebサイトを取り込み、感染者を拡大させようとしているとのレポートだ。これでは「契約した業者が悪質な行いをしているとは全く知らなかった！」と言い訳されるような気がする。

But, like all spyware and adware, it’s fueled by commercial interests: A company called CodecCash is offering website publishers the opportunity to make money on videos, by offering this fake codec.
（和訳）
　しかし全てのスパイウェアとアドウェアと同様に、営利活動によりたきつけられる：CodecCashと呼ばれる会社は、偽のコーデックの提供でビデオにより金稼ぎしないかと、Webサイト発行者に対し提案している。
　The VideoC monstrosity and CodecCash（Sunbelt BLOG）

　なお後述するが、以下の記事に指摘されているSpywareQuakeは、4月4日に他のコーデック経由での感染を実際に確認した。

There is a new rogue Anti-Spyware application out there serving as a replacement for Spy Falcon and SpyAxe. Spyware Quake is installed through the infamous VCodec trojan as well as various exploits.
（和訳）
　Spy FalconとSpyAxeに取ってかわったインチキなアンチスパイウェアアプリケーションがある。Spyware Quakeは様々なexploitと同様に良く知られた悪名高いVCodec Trojanによりインストールされる。
　Seen in the wild: Spyware Quake（Sunbelt BLOG）

　SmithRemについての情報を検索したものの、どうも配布元では十分な情報が提供されていない。このような紹介があったのだがネタ元はわからない。

After much research, he has come to the conclusion that 2 other apps were frequently DLed along with SpywareStrike to be included for removal with his search tool. Video iCodec（http://forums.tomcoyote.org/index.php?showtopic=55547） & Crystalys Media（http://www.whois.sc/reverse-ip/209.8.60.8） both installed on so many users machine it was an unlikely coincidence.
（和訳）
　多くの研究の後で、彼はSpywareStrikeと共に、彼の検索ツール（注：SmithRem）が検出対象とする2つのアプリケーションがダウンロードされるとの結論に至った。Video iCodecとCrystalys Mediaは両方ともかなり多くのユーザーマシンにインストールされているが、これはありえないほどの偶然の一致だった。
　SpyAxe SpywareStrike-SmithFraud Fix Updated

　またVCodecやVideo Codecなどの単語をあちこちで目にしますが。
　SpyBot Search&Destroyは2006年3月24日、Vcodec.eMediaとVcodec、そしてSpyAxeファミリーを検出対象とした。
　どうもよくわからないんですが。Vcodecなる検出名は特定のマルウェアの検出名を指すのだろうか、または汎用的な検出名？もしくは検出名ではなく特定の実行ファイルやメーカーの名称？紛らわしいなぁ。

ネット上での相談フォーラムへの投稿におけるコーデックとの関連性

　SpyAxeファミリー（SpyAxe・MalwareWiper・SpywareQuake・SpywareStrike・SpyFalcon）の名称でGoogle検索すれば、多くの感染事例を海外の質問掲示板で発見できるだろう。
　相談者がpostしたHijackThisのUninstall managerより取得するリスト（所謂アンインストール情報）には、不思議なほど多くの事例で「codec」の文字列を含む何かが存在する。一例としてspyware : your computer is infected （Forum de 01net）では、HijackThisのUninstall managerより取得するリストにeMedia Codec 4.0及び相談者が訴えていたSpyFalcon 2.0のログが掲載されている。
　これらの報告を幾つか抜き出してみよう。

jmuddeman　2006-03-10, 22:50
I downloaded what i thought was a viewing codec and it was a trojan. Avast picked it up and aborted it and I thought that would be the end of it. I ran spybot and it picked up a few things and vcodec. the other things have removed successfully but the vcodec keeps coming back. in the corner of my screen a yellow box appears and says "Your Computer is Infected! Possible harmful infection was detected on your computer etc etc" When you click to close it or on it it opens up spyfalcon website and automaticlly downloads their program. How can I remove this? Below is my HijackThis List I hope you can help thanks
（和訳）
　私がコーデックと思ってダウンロードしたものは、トロイだった。Avastがそれを検出し中止した、私はそれで終わりなのだと思いこんでいた。私はSpyBotを使い、幾つかのものとvcodecを検出した。他のものは駆除できたがvcodecは戻り続けた。画面の隅に（注：タスクトレイの意味）黄色いボックスが現れ、"Your Computer is Infected! Possible harmful infection was detected on your computer etc etc"と表示します（注意：表示されたとするメッセージの後半が違うような予感がする）。それを閉じようとクリックした時またはSpyFalconのウェブサイトが開かれる時、それらのプログラムが自動的にダウンロードされます。
　VCODEC - How do I remove this? （Safer Networking Forums）

　この投稿はまるで、どこかの日常風景を垣間見るような微笑ましさを感じた。と言うか、ちゃんと買いなさいな。

Guest Posted: Sun 12 Feb, 2006 2:01 am
I got infected by SpyFalcon 3.5 hours ago... They pissed me off! Luckily, while searching for the serial number generator to their "Spy removal software" I stumbled upon a nice little forum where I found out all about them. Also, on that forum I found a link to a site where directions are given. It was clean in a few minutes...
I was infected when downloading a "codec" for windows media player when it said "Cannot play file, please download new eCodecs (or whatever) here"... That's when my nightmare started...
（和訳）
　3.5時間前にSpyFalconに感染され、キレた。運良くSpy removal softwareのシリアルジェネレーターを探している間に、素敵な小さなフォーラムを偶然発見し全てを知った。同様に、そのフォーラムに質問掲示板へのリンクを発見した。そしてあっという間にきれいになった。
　Windows Media Playerのためのコーデックをダウンロードする時に感染し、その時そいつは「ファイルを再生できません。新しいeCodecs（か何か）はここ。。。」と言っていた。それが悪夢が始まった時だ。
　SpyFalcon （MalWare Removal Forum）

　この他にも何百・何千もの怨嗟の声に満ちた質問投稿が存在するのだが。200件ほど目を通した頃、毒気に当ったのか気分がどうも悪くなり頭がクラクラとしてきた。

eCodecはZlobと関連があるのか？

　eCodecはeMedia Codec Softwareが配布しているファイルで、ZlobまたはTrojan-Downloader.Win32.Zlobと呼ばれるダウンローダー系マルウェアとの関連が強く示唆される。また海外の掲示板にてはプログラムの追加と削除の項目に表示されるeMedia Codec 4.0なる名称がよくレポートされる。

VIDEOSGALLERIES.COMとeCodecに迫る

　videosgalleries.comドメインは複数のアダルトサイトが運用されている。一例としてMovie Reality、Free Gay Movie Galleries、Free Movie Gallery provided by 5StarVideos.comなどだ。
　これらのURIは以下のような構成となる。
　http://videosgalleries.com/mr/tp01/数字とアルファベット/gallery1.php?id=3桁の数字
　中ほどの数字とアルファベットは各サイトを、そして末尾の数字はeCodecのバージョンを示す。

　これらのアダルトサイトの「Download free sample 01」などの画像をクリックすると、音声のみが流れる。

（*クリックで拡大）
　「Windows Media Player is unable to play movie file. Please Click here to download new version of codec.」の誘いに乗ると、eCodec-v4.（3桁の数字）.exeなるファイルを導入することになるだろう。この際の3桁の数字は前述のURIの末尾の数字と同一である。
　eCodecの導入後には、アダルト動画が閲覧できるようになるだろう。

　なおExcelのオートフィルで末尾の数字のみを変更した、eCodecファイルインストーラーのURI（http://www.emcodec.com/xx/eCodec-v4.XXX）をExcelにて作成し、それを元に所謂「ブッコ抜き」でインストーラーを大量入手した。ちなみにeCodec-v4.650.exeが最も最新らしい。

2006年9月5日 追記事項 - PCODEC

　現在ではwww.videosgalleries.comよりはeCodecではなく、www.pcodec.comよりコーデックを装ったファイルをダウンロードさせるよう促すだろう。
　実行ファイルは「intcodec-v6.XXX.exe」となり、インストール後にプログラムの追加と削除には「PCODEC 6.0」と表示される。

環境により挙動が異なるeCodecの謎

VirtualPC環境では発動しないeCodec

　eCodec-v4.（3桁の数字）.exeはダブルクリックし導入すると、C:\Program Files\eMedia Codec\uninst.exeは作成された。とりあえずゴミファイルではないようだ。

　しかし危険なファイルやレジストリエントリは一切作成されず、また外部へ勝手に接続したりはしない。
　VirtualPCでのゲストドライブで起動したOSは、Windows2000・Windows2000 SP4・WindowsXP HomeEdition、WindowsXP Professional SP2また英語版。これらいずれでも「マルウェアとしての挙動」が観察されないのだ。
　おかしい。。。。。。。
　またeCodecに限らず、海外の掲示板にてこれまでレポートされていた幾つかの危険Codecパックファイルもだ。

　この謎は、あっけなく解けた。2006年4月4日、廃棄予定のパソコンにて面白半分にて試したらば、eCodecよりしっかりと怪しいファイルが作成されたのだ。
　eCodecは実機でなければ、悪質なマルウェアとしては活動しないのだ！！！。
　（これに気付くまでに相当の時間と労力を無駄に費やしたのだよ。。。。。。）

ハードウェア環境によってはZlobはダウンローダー活動を行わない

　さて、喜び勇んでWindows XP HomeEdition SP1を実機にセットアップした。またAcronis社のTrueImageにてバックアップし、何度でも同じ環境でテストできるよう準備。

　怪しいファイルとして、C:\WINDOWS\system32中にdfrgsrv.exeとld44AA.tmpの2つのファイルが作成された。
　「HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \explorer \run」に「wininet.dll = REG_SZ, "dfrgsrv.exe"」の値。
　このdfrgsrv.exeはZlobだった。感無量です。

　また[HKEY_LOCAL_MACHINE \SOFTWARE \Classes \EMediaCodec.Chl \CLSID] @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"のクラス情報が作成された。
　[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Uninstall \eMedia Codec]にDisplayName="eMedia Codec 4.0"その他が作成。これでコントロールパネルのプログラムの追加と削除にeMedia Codec 4.0が表示されるだろう。

　しかし、これまたおかしな事態となった。Vigilによるパケットキャプチャのログでは、一切外部へ接続しようとはしないのだ。
　言い換えればeCodec-v4.xxx.exeは外部へ接続せずにマルウェア関連ファイルを作成する点で、ダウンローダー（新たなマルウェアをダウンロードするもの）ではなく、ドロッパー（あるファイルがその他のマルウェア関連ファイルを作成する）なのだ。

　Zlobはダウンローダーである。外部に接続し何かを呼び込まなければ、感染したとしても全く意味が無い。
　感染したOSを何度も再起動し、Internet Explorerで接続したりしたものの、不審な挙動は一切観察されない。
　この謎はあっけなく解けた。

　コントロールパネルよりネットワーク接続を開いてみると、導入しているNIC（LANボードなど）が表示される。
　テストした実機にはOn BoardのNICとPCIスロットに増設したNICの2つが設置されており、On Boardのものは無効とし、PCIスロットに接続していたものを利用していたのだが。
　ふと思いつき、無効にしていたOn BoardのNICを有効としこれにEthernetケーブルを接続した。
　。。。。。しっかりと外部に接続し、どんどん色々なものを勝手にインストールしはじめたぢゃないですか。

eMedia Codec 4.0とZlobを実機にて観察する

　さて、気をとりなおして。eCodec-v4.xxx.exeを実行。

（*クリックで拡大）
　C:\Program Files\eMedia Codecフォルダ、その中にはuninst.exeファイルが作成される。このuninst.exeファイルはVirtualPC環境下でも作成されたファイルだ。
　C:\WINDOWS\system32中にdfrgsrv.exeと ld2F81.tmpの2つのファイルが作成された。どうやらtmpファイルの名称はランダムなのだろう。
　「HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \explorer \run」に「wininet.dll = REG_SZ, "dfrgsrv.exe"」の値が作成された。
　（ちなみに別の機会にeMedia Codec 4.0導入後にSpyFalconを手動でインストールしたらば、これらのファイルとレジストリを検出した）

　kitehosting.com（85.255.113.234）へのDNS Querｙが発生するも、ここにはhttp接続しようとはしなかった。
　download13.spywarequake.com（87.117.195.27）への接続は、http://download13.spywarequake.com/downloads/247/SpywareQuakeInstaller.exeをダウンロードしようとしているようだ。

　urgentsystemupdate.com（85.255.117.202）、これがよくわからない。
　partner=247の数字より推察すると、悪質広告代理店との関連を示唆しているような気がする。つまりこのSpywareQuakeを強制インストールするきっかけとなった「中間的業者」を識別し報酬を支払う目的なのではなかろうか。


　数分後、http://www.popentertain.com/vc/cas/carnivall/index.html（85.255.113.218）のオンラインカジノのポップアップとzgateway.netへの接続を確認。

（*クリックで拡大）
　SpywareQuakeが勝手に起動し、タスクトレイより「感染してるぞ！」とのバルーンポップアップが表示された。


　なおSystem Alert: Spyware Detectedのバルーンポップアップは黄色い「！」のタスクトレイ上のアイコン、「Your computer is infected!」のVirus Alert!の表示は赤と緑に点滅するアイコンと関連する。

　download5.spywarequake.com（69.31.131.82）へ接続。あれ、インストーラーは先ほどダウンロードされたんでは？何故にもう一度？

その後updates.spywarequake.com（85.255.117.202）へアップデートチェックと、kitehosting.com（85.255.113.234）への特に意味の無い通信が続く。

　Security SoftwareなるInternet Explorerのウィンドウが勝手に開き表示される。これはアドレスは表示されなかったが、パケットキャプチャのログよりhttp://www.popentertain.com/vc/as/sec1-adls/であると判明した。

（*クリックで拡大）
　WinAntiVirus Pro、Ad Protect、SpyFighterの3製品が紹介されている、怪しい。

　Malware Wipeを導入させる不審サイト（Semplice）にて紹介した、虚偽のスキャン結果を表示するインチキなサイトも表示される。
　もう何でもアリですね、これは。

　デスクトップには3つのアイコンが作成された。Online Security Guideのリンク先はhttp://securitylist.net/、Security Troubleshootingのリンク先はhttp://testsecurityonline.com/であった。なおSpywareQuakeのリンク先は"C:\Program Files\SpywareQuake\SpywareQuake.exe"である。

Internet Explorerの設定変更とハイジャック

　ホームページはabout: blankに改変された。

　幾つかのサイトが制限付きサイトゾーンに登録されている。

　たまたまURIを打ち間違えたらば、妙な画面。「The page you are looking for is blocked by the adware on your PC. Remove it with Spy Trooper software. CLICL HERE.」なのだそうだ。
　悪質なブラウザハイジャッカーに、アドウェアの心配などされたくないな。ましてや怪しいソフトウェアを紹介するなど。

（*クリックで拡大）

修復を試みるものの

　大変報告しづらいんですが、失敗しました。
　Zlob以外のものが複数大量に導入され、どれがどれやらわかりづらく。

　Rootkitなどが存在するのか否かを確かめる目的で、F-Secure社のBlacklight Beta Build2.2.1035をダウンロードし実行。しかし何も検出されない。

　SpyAxeファミリーとダウンローダー系マルウェア対策ツールとして著名な、SmitFraudFixをテストする。解凍してできたフォルダをCドライブ直下に移動、SmitfraudFix.cmdをダブルクリック。
　。。。。。おゃ？一瞬だけウィンドウが開くが何も起きないではないか。一応セーフモードでOSを起動し試したが、何も起きない。

　SmitFraudFixと同等に著名なSmitRemをテスト。タスクトレイ中の例のVirus Alert!は消えた。。。。。が、OS再起動後に復活した。意味ないぢゃん。

ダウンロードのピークは2回あったのだが、2回目の後にレジストリを保存し忘れるし。。。。。
（感染前と1回目の後のレジストリを比較するも、これだけでは不十分であった）
　また作成されたマルウェア関連ファイルは作成日時・変更日時が狂っており、10数日前から数十分前なのだ。そのため日時や時間を指定してのファイル検索は利用できなかった。またこちらの機材の都合で、感染前・感染後のハードディスクを外しての改変ファイルの調査は行えなかった。
　理由はわからないが、感染後には一部のツール類がエラー表示が出て起動できなかった。
　ERD Commander 2005のブータブルCDより修復を試みたが、どうも何かがあと2つ残っているような気がする。

　後日改めて試します。

修復成功（2006年4月9日追記事項）

　先日と同じeCodecの実行ファイルより感染させほぼ同様の症状を再現できたので、復旧作業を行ったらば紆余曲折あったものの修復に成功した。

　まずSpywareQuake、これはどうでもいいものなので気にしない。「HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Run」にSpywareQuakeのエントリ名があり、アンインストーラーから後々容易にアンインストールできるだろう。
　（2006年9月5日 追記事項：この手のソフトウェアではアンインストーラーを信頼できるのかと疑問を感じており、安易に推奨するつもりはありません）
　IEを起動したらhttp://www.perfectedsecurity.com/へ接続させられる。
　またRootkitRevealer ver1.7（Sysinternals）とBlackLight Build 2.2.1035（F-Secure）を予め利用したが、何も検出できなかった。

Zlobと未知のマルウェア2つの駆除

　さて本番だ。タスクマネージャよりRunning processを確認すればmssearchnet.exe、nvctrl.exe、dfrgsrv.exeが確認できるのだが、これらは停止してもまたすぐ復活する。1つを停止させても他のプロセスがまた起動させるのだろうか（こういうのをウォッチャーと呼ぶらしい）？
　またそれぞれの実行ファイルや関連するtmpファイルを削除しようにも使用中との事で削除できない。

ERD Commander 2005のブータブルCDより起動し、レジストリのスタートアップエントリ3つを削除。

　OSを再起動したのだが赤緑のアイコンはまだ動き、脅迫バルーンポップアップが出る。

以下のファイルを削除（レジストリエントリの処理前にはOS起動時には削除できなかった）。

（*クリックで拡大）

　これでもまだ赤緑のアイコンが動く。しかし不審なプロセスはタスクマネージャには表示されておらず。またProcess Explorer（Sysinternals）では特定できなかった。

Trojan.AdclickerとBHOを削除

　HijackThisより以下のものを削除
　O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\System32\hp197.tmp (file missing)

　stickrep.dllはTrojan.Adclickerとして検出されたのだが、これをレジストリより検索すれば\CLSID \{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D} \InProcServer32が見つかる。このClassIDを丸ごと削除。
　OS再起動

　赤緑のアイコンとその位置から出るポップアップは、これで起動しなくなった。
　後始末として、もう起動しなくなったC:\WINDOWS\System32\stickrep.dll （Trojan.Adclicker）を削除。

Internet Explorerを修復

　最後にInternet Explorer関連レジストリの完全なリセット用ツール（アダルトサイト被害対策の部屋）（http://www.higaitaisaku.com/cleanfixreg.html）よりInternet Explorerの設定を初期化。
　またInternet Explorerのプロパティよりセキュリティタブを開き、「制限付きサイトゾーン」に何故か登録されていた複数のサイトを削除した。

2006年11月23日追記事項

　Some ugly new fake codecs（2006年11月19日）（SunbeltBLOG ）によると、偽Codecファイルを配布する悪質なサイトがまた発見されたようだ。

Moviecodec, tvcodec and watchfree — all malicious fake codecs.
The promises are all false: They do not improve video or audio, and installing them under the premise of “free video” or any other reason is a very bad idea.
（和訳）
Moviecodec・tvcodec・watchfreeは全て悪意がある偽コーデックだ。
約束なんて嘘だ：それらはビデオやオーディオを改善しない。そして“無料ビデオ”もしくは他のどんな理由の前提下であっても、インストールするなんて非常に悪い考えだ。
　Some ugly new fake codecs（2006年11月19日）（SunbeltBLOG ）

　悪質サイトのMOVIECODEC.NET、TVCODEC.COM、WATCHFREE.NETはいずれもESTDOMAINS INCでドメインを取得しているとのこと。
　（moviecodec.comなる類似のドメインで運営されるサイトが存在するが、moviecodec.netとは別のサイトである）

Conclusion

• SpyAxeファミリー（SpyAxe・MalwareWiper・SpywareQuake・SpywareStrike・SpyFalcon）ファミリーはZlob、またCodecを装う不審ソフトウェアとの関連が報告されている。
  
• eMedia Codec SoftwareのeMedia Codec 4.0の実行ファイルeCodec-v4.xxx.exeは、dfrgsrv.exeというファイルを作成したが、これはアンチウイルスソフトメーカーのオンラインスキャンによればZlob本体であった。
  
• eCodec-v4.xxx.exeはVirtualPC環境下ではマルウェアとしての活動やZlobの投下は行わなかった。
  
• Zlobはハードウェアの環境によっては、外部への接続は一切行わなかったため、症状は顕在化しなかった。
  
• 今回の実験では、SpywareQuakeおよび複数のマルウェアやブラウザハイジャッカーによる改変を受けた。ダウンローダー系マルウェアによりダウンロードされるものが広汎・かつ頻繁に更新され変わるのを鑑みれば、修復は困難であろう。
  
• またSpyAxeファミリーの感染時によく推奨されるSmitFraudFixとSmitRemは、結果として何の効果も無かった。
  
• Zlobは様々なバージョンが存在するため、今回自分が行ったのと同様の結果になるとは限らない点は断りを入れておく。
  
• パーソナルファイアーウォールやアンチウイルスソフトを導入していれば、被害を防ぐ・または軽減できると考えられる。
  
• 感染直後であるならば、システムの復元の方が楽なような気がする。
  

関連記事

　SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト
　Malware Wipeを導入させる不審サイト
　SpyAxeとZlob
　スパイウェア（Spyware）の解説と定義、概論
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

Appendix - SmitRemは安全かつ効果的なのか？

　アダルトサイト被害対策の部屋のPCトラブル質問掲示板にて2006年2月14日SpyFalcon関連の質問があり、ママ姐氏の指示に従いSmitRemを利用した質問者は16日、OSが起動しなくなる障害が発生している（http://bbs.higaitaisaku.com/cbbs.cgi?mode=one&namber=79737&type=79702&space=60&no=0）。
　ママ姐氏によればSmitRemはSpyFalconを修復できないと予め知っていたそうだが（http://forum.higaitaisaku.com/viewtopic.php?p=6916#6916）、ならばこそ何故にSmitRemを薦めたのかね。
　たまたま質問者が緊急起動ディスクにより自力で修復できたため返信できたのだが、大抵はOSを復旧し不具合を報告するのは困難だろう。

　どのような理由で相談者のOSが起動できなくなったのかは自分には判別つかないが。これだけのリスクがある復旧ツールならば、利用は避けるのが賢明なのだろうか。