RapidBlaster （rb32.exe）の除去方法

RapidBlasterは、典型的なアダルトサイト系スパイウェアの一つです。比較的昔から存在し、その対処方法は確立されSpybot S&Dで除去可能なものでした。

しかし、スパイウェアはどんどんバージョンアップしていきます。Spybot S&D等で簡単に除去されてしまうと商売になりませんから、ファイル名を変えたり、インストールの仕方を変えたりしてこれらのアンチスパイウェアソフトの網をかいくぐろうとします。

このRapidBlasterについてもそうで、SpywareInfoの6月10日付けNewletterに「RapidBlaster Alert」としてトップページで警告している通り、タチの悪い変種が出回りだして来ている様です。詳細については後で述べますが、例えば「スパイウェア除去ソフト、ツールなどをRapidBlasterが検出すると、たちまちファイル名を変更して姿を変える」というのが一番嫌らしいでしょうか。

・参考サイト

RapidBlasterとは何か？

RapidBlasterは、http://www.rapidblaster.comが本家のアダルトサイト系のスパイウェアです。アダルト系のポップアップを出すのが一番の特徴ですが、そのほかにも時々作成元のサーバーから新しいプログラムをダウンロードしたり、おそらく固有IDを元にした個人情報を送信していると思われます。

通常は、これが仕込まれたサイトのActiveXによってインストールされますが（通常警告は出るはず）、別のスパイウェアであるIST Barによってダウンロードされることも知られています。インストールされると、通常はrb32.exeという実行ファイルが作成されますが、変種の場合は違うファイル名になります。

今回警告が出ている変種の概要

通常だと、RapidBlasterはC:\Program Files\RB32\rb32.exeにインストールされ、同時にこの実行ファイルの自動起動が

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rb32 lptt01

に仕込まれます。今回の変種の場合、RapidBlasterに感染すると209.47.15.73のサーバーに接続して色々な単語のリストをダウンロードし、その中から適当なものを選んでその名前に姿を変えます。使われるファイル名の一覧は、RapidBlaster Killerに載ってますが、例えばRealplayフォルダの中の「RealPlay.exe」だとか、Taskmngrフォルダの中の「taskmngr.exe」だとか、msconfigフォルダの中の「msconfig.exe」だとかそれらしい名前に変化します。

もう一つ嫌らしいのは、このサイトでも紹介しているHijackThisなどのスパイウェア関係のツールを使った場合、それを感知するとすぐに別の名前をダウンロードして変異してしまうことです。RapidBlasterに感染するとそれが自動起動され常にバックグラウンドで動いているのですが、これに「スパイウェア除去ツール自動感知システム」が付いているそうです。ということは、治療は今起動しているRapidBlasterを止めてからでないと難しいということになります。

RapidBlasterの除去方法

doxdesk.comなどに除去方法がありますが、新種対応してるかどうか不安なところもあるので、ここではJavacool Software, "RapidBlaster Killer"からダウンロードできる30KBほどの小さな専用プログラムを使います。ただ、まず最初にコントロールパネルの「プログラムの追加と削除」に「rb32 lptt」などが無いかどうか先に確認して下さい。あった場合は、これでまずプログラムを削除した方が良いかもしれません。

RapidBlaster Killerは、2003年6月10日現在知られているすべてのRapidBlasterの変種を現在実行されているプログラムから検出し、それを停止させてメモリーから除き、同時に自動起動プログラムにあるエントリーを削除するものです。また、プログラムを削除することができ、除去後は「scanlog.txtのログを実行ファイルと同じ場所に作成してくれます。

Javacool Softwareのサイトの下の方に「RapidBlaster Killer 1.3」と書いてあるところをクリックするとダウンロードできます。デスクトップにでもダウンロードして下さい。うまくダウンロードできない場合はこちらの直リンクをどうぞ。