ウイルス情報

ウイルス名 危険度

FakeAlert-AVPsec.a

企業ユーザ: N/A
個人ユーザ: N/A
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7659)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2010/04/15
発見日(米国日付) 2010/04/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・FakeAlert-AVPsec.aは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を受けているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを購入するよう促します。

・FakeAlert-AVPsec.aは完全に自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

TOPへ戻る

ウイルスの特徴

・FakeAlert-AVPsec.aが実行されると、以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\3
  • HKEY_CLASSES_ROOT\SAb45b.DocHostUIHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[複数のアプリケーション]

・以下のレジストリ値が追加されます。

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes [URLs]
  • データ: http://findg[削除].com/?&uid=7&q={searchTerms}
  • HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes [URL]
  • データ: http://findg[削除].com/?&uid=7&q={searchTerms}
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [IIL]
  • データ: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltHI]
  • データ: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltTST]
  • データ: A5, 81, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [PRS]
  • データ: http://127.0.0.1:27777/?inj=%ORIGINAL%
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [RunInvalidSignatures]
  • データ: 01, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [Security Antivirus]
  • データ: "SAb45b.exe" /s /d
  • HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} [(既定)]
  • データ: Implements DocHostUIHandler
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe]
  • データ: SAb45b.exe:*:Enabled:Security Antivirus
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe]
  • データ: SAb45b.exe:*:Enabled:Security Antivirus

・以下のレジストリキーが削除されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

・以下のレジストリキーが改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [CheckExeSignatures]
  • データ: no
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch [Epoch]
  • データ: 2D, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch [Epoch]
  • 改変後のデータ: 2D, 00, 00, 00

・以下のフォルダが作成されます。

  • c:\Documents and Settings\All Users\Application Data\b45b499
  • c:\Documents and Settings\All Users\Application Data\SABSNJCUYAV
  • c:\Documents and Settings\%user%\Application Data\Security Antivirus

・以下のファイルがドロップ(作成)/ダウンロードされます。

  • c:\Documents and Settings\All Users\Application Data\b45b499\16.mof (サイズ: 334バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAb45b.exe (サイズ: 2,467,840バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAV.ico (サイズ: 4,286バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\BackUp\Adobe Reader Speed Launch.lnk (サイズ: 1,757バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAVSys\vd952342.bd (サイズ: 12,733バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAVSys\VDAI.ntf (サイズ: 4,253バイト)
  • c:\Documents and Settings\All Users\Application Data\SABSNJCUYAV\SALYNUAV.cfg (サイズ: 21,677バイト)
  • c:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Antivirus.lnk (サイズ: 1,795バイト)
  • c:\Documents and Settings\%user%\Application Data\Security Antivirus\Instructions.ini (サイズ: 1,177バイト)
  • c:\Documents and Settings\%user%\Desktop\Security Antivirus.lnk (サイズ: 1,777バイト)
  • c:\Documents and Settings\%user%\Local Settings\Temp\1.exe (サイズ: 188,928バイト)
  • c:\Documents and Settings\%user%\Start Menu\Security Antivirus.lnk (サイズ: 1,777バイト)
  • c:\Documents and Settings\%user%\Start Menu\Programs\Security Antivirus.lnk (サイズ: 1,783バイト)

・さらに、ユーザのハードディスクドライブの偽のスキャンを開始し、マシンがいくつかのマルウェアに感染していると偽ります。

・FakeAlertは最小化して閉じることができますが、以下のようなポップアップメッセージをシステムトレイに表示し続けます。

・hostsファイルが改変され、ユーザが以下のWebサイトにアクセスしようとすると、74.125.[削除] 67.215.240.[削除]にリダイレクトされます。

  • 4-ope[削除].com
  • securi[削除].com
  • privatesecur[削除].com
  • secure.privatesecu[削除].com
  • getantivi[削除].com
  • secure-plus-[削除].com
  • www.getantiviru[削除].com
  • www.secure-plus[削除].com
  • www.getavpl[削除].com
  • safebrowsing-c[削除].com
  • urs.micro[削除].com
  • www.securesoft[削除].com
  • secure.paysecu[削除].com
  • paysoftbill[削除].com
  • protected.maxi[削除].com
  • www.google.com
  • google.com
  • google.com.au
  • www.google.com.au
  • google.be
  • vwww.google.be
  • google.com.br
  • www.google.com.br
  • google.ca
  • www.google.ca
  • google.ch
  • www.google.ch
  • google.de
  • www.google.de
  • google.dk
  • www.google.dk
  • google.fr
  • www.google.fr
  • google.ie
  • www.google.ie
  • google.it
  • www.google.it
  • google.co.jp
  • www.google.co.jp
  • google.nl
  • www.google.nl
  • google.no
  • www.google.no
  • google.co.nz
  • www.google.co.nz
  • google.pl
  • www.google.pl
  • google.se
  • www.google.se
  • google.co.uk
  • www.google.co.uk
  • google.co.za
  • www.google.co.za
  • www.google-analytics.com
  • www.bing.com
  • search.yahoo.com
  • www.search.yahoo.com
  • uk.search.yahoo.com
  • ca.search.yahoo.com
  • de.search.yahoo.com
  • fr.search.yahoo.com
  • au.search.yahoo.com

・ユーザがインターネットにアクセスしようとすると、FakeAlert-AVPSec.aはユーザが攻撃を受けていると偽るメッセージを表示します。

・以下のドメインにアクセスする可能性があります。

  • Secure-fi[削除].in
  • Protecteds[削除].in
  • Save-se[削除].com
  • Your-securepa[削除].com
  • Safeanti[削除].net

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • システムがひどく感染しているかのような偽の警告を表示します。
  • レジストリを改変します。
  • ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る