ウイルス情報

ウイルス名 危険度

FakeAlert-AVPsec!env.f

企業ユーザ: N/A
個人ユーザ: N/A
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
N
対応定義ファイル
(現在必要とされるバージョン)
6011 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2010/06/14
発見日(米国日付) 2010/05/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・FakeAlert-AVPsec!env.fは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を受けているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを購入するよう促します。

・FakeAlert-AVPsec!env.eは完全に自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

  • システムがひどく感染しているかのような偽の警告を表示します。
  • レジストリを改変します。
  • ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。

TOPへ戻る

ウイルスの特徴

・FakeAlert-AVPsec.eが実行されると、以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\3
  • HKEY_CLASSES_ROOT\SGD735.DocHostUIHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[複数のアプリケーション]

・以下のレジストリ値が追加されます。

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes [URLs] データ: http://find[削除].com/?&uid=328&q={searchTerms}
  • HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes [URL] データ: http://find[削除].com/?&uid=328&q={searchTerms}
  • >HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [IIL] データ: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltHI] データ: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltTST] データ: A5, 81, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [PRS] データ: http://127.0.0.1:27777/?inj=%ORIGINAL%
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\BrowserEmulation [MSCompatibilityMode] データ: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download RunInvalidSignatures] データ: 01, 00, 00, 00
  • HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} [(既定)] データ: Implements DocHostUIHandler

・以下のレジストリキーが削除されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

・以下のレジストリキーが改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [CheckExeSignatures] データ: no
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch [Epoch] データ: 2D, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch [Epoch]改変後のデータ: 2D, 00, 00, 00

・以下のフォルダが作成されます。

  • c:\Documents and Settings\All Users\Application Data\ccd89
  • c:\Documents and Settings\All Users\Application Data\SGNMMD
  • c:\Documents and Settings\%user%\Application Data\Security Guard

・以下のファイルがドロップ(作成)/ダウンロードされます。

  • c:\Documents and Settings\All Users\Application Data\ccd89\43.mof (サイズ: 334バイト)
  • c:\Documents and Settings\All Users\Application Data\ccd89\SG731.exe (サイズ: 2,704,384バイト)
  • c:\Documents and Settings\All Users\Application Data\ccd89\SGD.ico (サイズ: 4,286バイト)
  • c:\Documents and Settings\All Users\Application Data\ccd89\BackUp\Adobe Reader Speed Launch.lnk (サイズ: 1,757バイト)
  • c:\Documents and Settings\All Users\Application Data\ccd89\SGDSys\vd952342.bd (サイズ: 12,733バイト)
  • c:\Documents and Settings\All Users\Application Data\MSTLDEE\SGLRHEOYD.CFG (サイズ: 21,290バイト)
  • c:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Guard.lnk (サイズ: 1,795バイト)
  • c:\Documents and Settings\%user%\Application Data\Security Guard\Instructions.ini (サイズ: 1,261バイト)
  • c:\Documents and Settings\%user%\Desktop\Security Guard.lnk (サイズ: 1,777バイト)
  • c:\Documents and Settings\%user%\Local Settings\Temp\SG731.exe (サイズ: 403,456バイト)
  • c:\Documents and Settings\%user%\Start Menu\Security Guard.lnk (サイズ: 1,777バイト)
  • c:\Documents and Settings\%user%\Start Menu\Programs\Security Guard.lnk(サイズ: 1,783バイト)

・マシンが非常に危険な状態にあると警告するアラートを表示します。

・FakeAlertは最小化して閉じることができますが、以下のようなポップアップメッセージをシステムトレイに表示し続けます。

・hostsファイルが改変され、ユーザが以下のWebサイトにアクセスしようとすると、74.125.45.[削除]にある以下のサーバにリダイレクトされます。

  • 4-open-[削除].com
  • securitysoft[削除].com
  • privatese[削除].com
  • secure.private[削除].com
  • getantivirus[削除].com
  • secure-plus-[削除].com
  • www.getant[削除].com
  • www.secure-[削除].com
  • www.get[削除].com
  • safebrow[削除].com
  • urs.[削除].com
  • www.secure[削除].com
  • secure.payse[削除].com
  • paysoft[削除].com
  • protected.maxi[削除].com

・ユーザがインターネットにアクセスしようとすると、FakeAlert-AVPsec!env.fは、防護のため、ソフトウェアのフルバージョンを購入するよう警告するメッセージを表示します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る