|
|
ウイルス情報| ウイルス名 | 危険度 | | FakeAlert-AVPSec.e | |
|
| 種別 | トロイの木馬 | 最小定義ファイル
(最初に検出を確認したバージョン) | 5980 | 対応定義ファイル
(現在必要とされるバージョン) | 5980 (現在7109) | | 対応エンジン | 5.4.00以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 情報掲載日 | 2010/05/14 | | 発見日(米国日付) | 2010/05/12 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| 概要 | TOPに戻る | |
・FakeAlert-AVPsec.eは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を受けているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを購入するよう促します。
・FakeAlert-AVPsec.eは完全に自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。
- システムがひどく感染しているかのような偽の警告を表示します。
- レジストリを改変します。
- ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。
|
|
| ウイルスの特徴 | TOPに戻る | |
・FakeAlert-AVPsec.eが実行されると、以下のレジストリキーが追加されます。
- HKEY_CURRENT_USER\Software\3
- HKEY_CLASSES_ROOT\MSb45b.DocHostUIHandler
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[複数のアプリケーション]
・以下のレジストリ値が追加されます。
- HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes [URLs]
- データ: http://find[削除].com/?&uid=328&q={searchTerms}
- HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes [URL]
- データ: http://find[削除].com/?&uid=328&q={searchTerms}
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [IIL]
- データ: 00, 00, 00, 00
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltHI]
- データ: 00, 00, 00, 00
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltTST]
- データ: A5, 81, 00, 00
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [PRS]
- データ: http://127.0.0.1:27777/?inj=%ORIGINAL%
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\BrowserEmulation [MSCompatibilityMode]
- データ: 00, 00, 00, 00
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [RunInvalidSignatures]
- データ: 01, 00, 00, 00
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [My Security Engine]
- データ: MSb45b.exe /s /d
- HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} [(既定)]
- データ: Implements DocHostUIHandler
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [MSb45b.exe]
- データ: MSb45b.exe:*:Enabled:My Security Engine
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [MSb45b.ex]
- データ: MSb45b.exe:*:Enabled:My Security Engine
・以下のレジストリキーが削除されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
・以下のレジストリキーが改変されます。
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [CheckExeSignatures]
- データ: no
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch [Epoch]
- データ: 2D, 00, 00, 00
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch [Epoch]
- 改変後のデータ: 2D, 00, 00, 00
・以下のフォルダが作成されます。
- c:\Documents and Settings\All Users\Application Data\b45b499
- c:\Documents and Settings\All Users\Application Data\MSTLDEE
- c:\Documents and Settings\%user%\Application Data\My Security Engine
・以下のファイルがドロップ(作成)/ダウンロードされます。
- c:\Documents and Settings\All Users\Application Data\b45b499\3411.mof (サイズ: 334バイト)
- c:\Documents and Settings\All Users\Application Data\b45b499\MSb45b.exe (サイズ: 2,704,384バイト)
- c:\Documents and Settings\All Users\Application Data\b45b499\MSE.ico (サイズ: 4,286バイト)
- c:\Documents and Settings\All Users\Application Data\b45b499\BackUp\Adobe Reader Speed Launch.lnk (サイズ: 1,757バイト)
- c:\Documents and Settings\All Users\Application Data\b45b499\MSESys\vd952342.bd (サイズ: 12,733バイト)
- c:\Documents and Settings\All Users\Application Data\MSTLDEE\MSHIBFFJWSE.cfg (サイズ: 21,290バイト)
- c:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk (サイズ: 1,795バイト)
- c:\Documents and Settings\%user%\Application Data\My Security Engine\Instructions.ini (サイズ: 1,261バイト)
- c:\Documents and Settings\%user%\Desktop\My Security Engine.lnk (サイズ: 1,777バイト)
- c:\Documents and Settings\%user%\Local Settings\Temp\packupdate_build107_328.exe (サイズ: 403,456バイト)
- c:\Documents and Settings\%user%\Start Menu\My Security Engine.lnk (サイズ: 1,777バイト)
- c:\Documents and Settings\%user%\Start Menu\Programs\My Security Engine.lnk (サイズ: 1,783バイト)
・さらに、ユーザのハードディスクドライブの偽のスキャンを開始し、マシンがいくつかのマルウェアに感染していると偽ります。
・FakeAlertは最小化して閉じることができますが、以下のようなポップアップメッセージをシステムトレイに表示し続けます。
・hostsファイルが改変され、ユーザが以下のWebサイトにアクセスしようとすると、74.125.45.[削除] 217.23.15.[削除]にリダイレクトされます。
- 4-ope[削除].com
- securi[削除].com
- privatesecur[削除].com
- secure.privatesecu[削除].com
- getantivi[削除].com
- secure-plus-[削除].com
- www.getantiviru[削除].com
- www.secure-plus[削除].com
- www.getavpl[削除].com
- safebrowsing-c[削除].com
- urs.micro[削除].com
- www.securesoft[削除].com
- secure.paysecu[削除].com
- paysoftbill[削除].com
- protected.maxi[削除].com
- www.google.com
- google.com
- google.com.au
- www.google.com.au
- google.be
- vwww.google.be
- google.com.br
- www.google.com.br
- google.ca
- www.google.ca
- google.ch
- www.google.ch
- google.de
- www.google.de
- google.dk
- www.google.dk
- google.fr
- www.google.fr
- google.ie
- www.google.ie
- google.it
- www.google.it
- google.co.jp
- www.google.co.jp
- google.nl
- www.google.nl
- google.no
- www.google.no
- google.co.nz
- www.google.co.nz
- google.pl
- www.google.pl
- google.se
- www.google.se
- google.co.uk
- www.google.co.uk
- google.co.za
- www.google.co.za
- www.google-analytics.com
- www.bing.com
- search.yahoo.com
- www.search.yahoo.com
- uk.search.yahoo.com
- ca.search.yahoo.com
- de.search.yahoo.com
- fr.search.yahoo.com
- au.search.yahoo.com
・ユーザがインターネットにアクセスしようとすると、FakeAlert-AVPSec.eはユーザが攻撃を受けていると偽るメッセージを表示します。
・以下のドメインにアクセスする可能性があります。
- secure1.saefty-gua[削除].com
- update2.keep-ins[削除].net
- www5.our-security-[削除].net
- report.zoneguar[削除].net
- update1.keepinsa[削除].com
- secure2.saeftyz[削除].com
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
- システムがひどく感染しているかのような偽の警告を表示します。
- レジストリを改変します。
|
|
| 感染方法 | TOPへ戻る | |
・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。
|
|
|
|
|  |
