McAfee for Small Businesses

ウイルス名 危険度 FakeAlert-AVPsec!env.f 企業ユーザ: N/A 個人ユーザ: N/A 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) N 対応定義ファイル (現在必要とされるバージョン) 6011　（現在7080) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2010/06/14 発見日（米国日付） 2010/05/21 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/20 RDN/Generic.... 05/20 RDN/Generic ... 05/20 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・FakeAlert-AVPsec.eが実行されると、以下のレジストリキーが追加されます。 HKEY_CURRENT_USER\Software\3 HKEY_CLASSES_ROOT\SGD735.DocHostUIHandler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[複数のアプリケーション] ・以下のレジストリ値が追加されます。 HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes [URLs] データ： http://find[削除].com/?&uid=328&q={searchTerms} HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes [URL] データ： http://find[削除].com/?&uid=328&q={searchTerms} >HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [IIL] データ： 00, 00, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltHI] データ： 00, 00, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltTST] データ： A5, 81, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [PRS] データ： http://127.0.0.1:27777/?inj=%ORIGINAL% HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\BrowserEmulation [MSCompatibilityMode] データ： 00, 00, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download RunInvalidSignatures] データ： 01, 00, 00, 00 HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} [(既定)] データ： Implements DocHostUIHandler ・以下のレジストリキーが削除されます。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ・以下のレジストリキーが改変されます。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [CheckExeSignatures] データ： no HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch [Epoch] データ： 2D, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch [Epoch]改変後のデータ： 2D, 00, 00, 00 ・以下のフォルダが作成されます。 c:\Documents and Settings\All Users\Application Data\ccd89 c:\Documents and Settings\All Users\Application Data\SGNMMD c:\Documents and Settings\%user%\Application Data\Security Guard ・以下のファイルがドロップ（作成）／ダウンロードされます。 c:\Documents and Settings\All Users\Application Data\ccd89\43.mof (サイズ： 334バイト) c:\Documents and Settings\All Users\Application Data\ccd89\SG731.exe (サイズ： 2,704,384バイト) c:\Documents and Settings\All Users\Application Data\ccd89\SGD.ico (サイズ： 4,286バイト) c:\Documents and Settings\All Users\Application Data\ccd89\BackUp\Adobe Reader Speed Launch.lnk (サイズ： 1,757バイト) c:\Documents and Settings\All Users\Application Data\ccd89\SGDSys\vd952342.bd (サイズ： 12,733バイト) c:\Documents and Settings\All Users\Application Data\MSTLDEE\SGLRHEOYD.CFG (サイズ： 21,290バイト) c:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Guard.lnk (サイズ： 1,795バイト) c:\Documents and Settings\%user%\Application Data\Security Guard\Instructions.ini (サイズ： 1,261バイト) c:\Documents and Settings\%user%\Desktop\Security Guard.lnk (サイズ： 1,777バイト) c:\Documents and Settings\%user%\Local Settings\Temp\SG731.exe (サイズ： 403,456バイト) c:\Documents and Settings\%user%\Start Menu\Security Guard.lnk (サイズ： 1,777バイト) c:\Documents and Settings\%user%\Start Menu\Programs\Security Guard.lnk(サイズ： 1,783バイト) ・マシンが非常に危険な状態にあると警告するアラートを表示します。 ・FakeAlertは最小化して閉じることができますが、以下のようなポップアップメッセージをシステムトレイに表示し続けます。 ・hostsファイルが改変され、ユーザが以下のWebサイトにアクセスしようとすると、74.125.45.[削除]にある以下のサーバにリダイレクトされます。 4-open-[削除].com securitysoft[削除].com privatese[削除].com secure.private[削除].com getantivirus[削除].com secure-plus-[削除].com www.getant[削除].com www.secure-[削除].com www.get[削除].com safebrow[削除].com urs.[削除].com www.secure[削除].com secure.payse[削除].com paysoft[削除].com protected.maxi[削除].com ・ユーザがインターネットにアクセスしようとすると、FakeAlert-AVPsec!env.fは、防護のため、ソフトウェアのフルバージョンを購入するよう警告するメッセージを表示します。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 感染方法 TOPへ戻る 駆除方法 TOPへ戻る