Hao123 が勝手にブラウザスタートページに!? インストーラ解析情報
Windows向けブラウザのホームページを Baidu が運営するポータルサイト 日本Hao123 に変更する実行ファイルがあるので、オンライン解析サイト Comodo Instant Malware Analysis で調べた動作の解析情報を掲載してます。 (*´∀`)b
- ファイル名 tn-sft_sc_hao123_jp_hao123inst-japan.exe
- 説明 hao123 Desktop Shortcut
www.hao123.com/desk.html
スペインの Softonic が配布するソフトニックダウンローダー経由の実行ファイルを放り投げてみたところ、物議を醸してるブラウザの設定を(ユーザーがスルーしてる可能性が高い同意を元に)変更する挙動が見て取れるけど、ウイルスやスパイウェアとは言い難いでしょう。
http://camas.comodo.com/cgi-bin/submit?file=1a72a4160dc91ef829390d45f7550b7883bfe658cf9eb8b29782d796ae4151da
File Info
| Name | Value |
|---|---|
| Size | 795272 |
| MD5 | c335cf0b5955c13a603d17a10c8417db |
| SHA1 | 5a3f20ce310410be9bfdbeeacfd94e4e75228ef3 |
| SHA256 | e5504af4e157c9469adbe2c7a801ea5236e3bd626ed889e4415e075782930280 |
Keys Created
コントロールパネルの「プログラムと機能」用に Hao123 のアンインストール設定のキーが作成されてます。
| Name |
|---|
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall |
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall\hao123desk-international |
Values Created
上のアンインストール設定のキーの詳細です。
| Name | Type | Value |
|---|---|---|
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall\hao123desk-international\DisplayIcon | REG_SZ | ""C:\Documents and Settings\User\Application Data\baidu\hao123-jp\hao123.1.0.0.1100.exe"" |
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall\hao123desk-international\DisplayName | REG_SZ | "日本hao123ショートカット" |
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall\hao123desk-international\DisplayVersion | REG_SZ | "1.0.0.1100" |
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall\hao123desk-international\HelpLink | REG_SZ | "http://www.hao123.com/desk.html" |
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall\hao123desk-international\Publisher | REG_SZ | "hao123" |
| CU\Software\Microsoft\Windows\CurrentVersion\Uninstall\hao123desk-international\UninstallString | REG_SZ | ""C:\Documents and Settings\User\Application Data\baidu\hao123-jp\hao123.1.0.0.1100.exe" uninstall" |
Values Changed
Internet Explorerブラウザの起動時に開くホームページを jp.hao123.com に変更してます。
| Name | Type | Value |
|---|---|---|
| CU\Software\Microsoft\Internet Explorer\Main\Start Page | REG_SZ/REG_SZ | "about:blank"/"http://jp.hao123.com/?tn=sft_hp_hao123_jp" |
| CU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings | REG_BINARY/REG_BINARY | ?/? |
Directories Created
AppData(Application Data)フォルダとスタートメニューに Hao123 のフォルダが作成されます。
| Name |
|---|
| C:\Documents and Settings\User\Application Data\baidu |
| C:\Documents and Settings\User\Application Data\baidu\hao123-jp |
| C:\Documents and Settings\User\Start Menu\Programs\日本hao123 |
Files Created
上のフォルダにHao123プログラム本体が作成されます。また、Windowsの クイック起動バー、デスクトップ、スタートメニュー にショートカットアイコン Hao123.lnk を作成します。
| Name | Size |
|---|---|
| C:\Documents and Settings\User\Application Data\baidu\hao123-jp\hao123.1.0.0.1100.exe | 545416 |
| C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\hao123.lnk | 925 |
| C:\Documents and Settings\User\Desktop\hao123.lnk | 985 |
| C:\Documents and Settings\User\Local Settings\Temp\bdg1.tmp | 545416 |
| C:\Documents and Settings\User\Local Settings\Temp\bdg2.tmp | 0 |
| C:\Documents and Settings\User\Start Menu\Programs\日本hao123\hao123.lnk | 997 |
| C:\Documents and Settings\User\Start Menu\Programs\日本hao123\hao123のアンインストール.lnk | 1977 |
HTTP Queries
インストールされたユーザーの統計を取るカウンター的な役割なのか外部通信が発生してます。
| HTTP Query Text |
|---|
| dl.client.baidu.com GET /hao123/desk/jp/update-jp?ver=1100.0.0.2.1:〜 HTTP/1.1 |
セキュリティ会社の情報
- BrowserModifier:Win32/Hao123!blnk - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=BrowserModifier:Win32/Hao123!blnk - PUA_HAO.GA - Threat Encyclopedia - Trend Micro
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/pua_hao.ga - ADW_HAOCOM - Threat Encyclopedia - Trend Micro
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/adw_haocom
