<削除>File Scoutアンインストール方法 関連付け拡張子ハイジャック
ファイルスカウト?
「FileScout」 「File Scout」 は、アドウェアの泉になっている中東イスラエルの企業 iBario LTD から提供されている広告インストーラ InstallBrain を介して強制インストールされている不必要なソフトウェアです。
この FileScout が導入される経路は、広告インストーラのインストール画面で次のアドウェア (いちおう導入は拒否できる) を Windows パソコンに同時導入するタイミングでシレッとインストールされています。
「File Scout」 をキーワードにググると、『スマホのBlackBerry向けアプリ』 『Unix Perl スクリプト』 の情報がヒットするものの、ソフトウェアの名称が偶然被っているだけであり、完全に別モノです。
「FileScout」 「File Scout」 は脅威の分類ではマルウェアに該当せず、一部のセキュリティ会社が実行ファイルをアドウェア (広告的なソフトウェア) や PUP (不要な可能性のあるプログラム) と判定します。
MD5 63d81bd379d7e26fa472ef4478d7de47
ESET Win32/FileScout.A
Kaspersky Trojan-Downloader.Win32.Agent.hete
Malwarebytes PUP.Optional.FileScout
McAfee PUP-FKK
Microsoft TrojanDownloader:Win32/Filcout.A
Symantec Downloader.Filcout
Trend Micro ADW_DOWNWARE
FileScout 狙いは迷惑ソフトの手動導入か
「FileScout」 「File Scout」 は、Windows ファイルの関連付けをハイジャックする仕組みが存在します。
特に、Windows ユーザーさんがファイルを開いた時、そのファイルの拡張子が 「特に何も関連付けられていない不明な拡張子」 だった場合、次のようなもっともらいしウィンドウ画面を表示します。
File Scout ウィンドウ
File Scout
The File Scout finds information aoubt file types and software to open then.
File name: 無題な濃いログだよーん.doc
What do you wanto to do?
○ Search the web for software that can open your files
○ Open using already installed software
http://www.softango[.]com/file-extensions/?source=fs
ウィンドウ画面の [OK] ボタンをポチッと押すと、中東イスラエルの企業 iBario LTD が運営しているオンラインソフトウェア紹介サイト Softango 内に用意されている拡張子辞典 (英語) にアクセスします。
この拡張子辞典は 「開けない拡張子を表示できるソフトウェア」 が多数紹介されているものの、配布されているソフトウェアのインストーラー (拡張子 .exe) が、すべて広告インストーラーになっています。
Tango Down, Softango - Malwarebytes
https://blog.malwarebytes.com/threat-analysis/2013/10/tango-down-softango/
広告インストーラーを起動すると、ユーザーさんに同意の上で、アドウェア、ブラウザハイジャッカー、迷惑ソフトなどの導入が行われる仕掛けです。
「File Scout」 「FileScout」 アンインストールで削除方法
【1】
Windows のエクスプローラーを開き、「FileScout」 「File Scout」 がインストールされてあるフォルダーへ移動する
※ Windows の隠しファイルや隠しフォルダーを表示する方法
http://support.microsoft.com/kb/2453311/ja
http://support.microsoft.com/kb/2453311/ja
【Windows Vista/7/8/10】
C:\Users\(ユーザー名)\AppData\Roaming\File Scout\ ~
【Windows XP】
C:\Documents and Settings\[ユーザー名]\Application Data\File Scout\ ~
手元では確認してないけれど、Program Files フォルダーにインストールされあるパターンもあるみたい?
C:\Program Files\File Scout\ ~
【2】
フォルダー内の実行ファイル filescout.exe が 「File Scout」 「FileScuot」 プログラムの本体です。
同じ場所に、これをアンインストールするための実行ファイル uninst.exe が存在するはずで起動します。
【3】
確認ダイアログ 『FireflyFramer Are you sure you want to remove File Scout?』 が表示されたら [はい] ボタンをポチッとな
<2013年10月 追記...>
マイクロソフトによると、ウイルス感染マシンで築かれたボットネットの構築に 「File Scout」 「FileScout」 が一役買っていると指摘しています。<ボットネットは Mevade (読み方 メバデ) と名付けられた
・ Mevade and Sefnit: Stealthy click fraud – Microsoft
https://blogs.technet.microsoft.com/uktechnet/2013/09/25/mevade-and-sefnit-stealthy-click-fraud/
https://blogs.technet.microsoft.com/uktechnet/2013/09/25/mevade-and-sefnit-stealthy-click-fraud/
・ 悪質化するアドウェア:「MEVADE/SEFNIT」との関連 - トレンドマイクロ
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/web-attack/136/adware-gone-bad-the-adware-and-mevadesefnit-connection
・ 無料クリックなし: Babylon との合併を拒否したオル・イェフダ(イスラエルの都市)出身のインターネットの巨人
https://www.calcalist.co.il/internet/articles/0,7340,L-3629297.html
イスラエルの企業 iBario LTD が仕込んだ 「File Scout」 「FileScout」 がインストールされる裏側ではトロイの木馬 Trojan:Win32/Sefnit をコッソリとインストールする機能が組み込まれていたとか。
TrojanDownloader:Win32/Brantall … 広告インストーラ InstallBrain
↓
TrojanDropper:Win32/Rotbrow … ブラウザハイジャッカーの削除を妨害する
TrojanDownloader:Win32/Filcout.A … 拡張子の関連付けを乗っ取る + ボットネットのダウンローダー
↓
Trojan:Win32/Sefnit … ボットネット Mevade の構築
Trojan:Win32/Mevade