McAfee for Small Businesses

ウイルス名 危険度 FakeAlert-AVPsec.d 企業ユーザ: N/A 個人ユーザ: N/A 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) N/A 対応定義ファイル (現在必要とされるバージョン) 5980　（現在7084) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2010/05/13 発見日（米国日付） 2010/04/21 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・FakeAlert-AVPsec.dが実行されると、以下のレジストリキーが追加されます。 HKEY_CURRENT_USER\Software\3 HKEY_CLASSES_ROOT\SAb45b.DocHostUIHandler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[複数のアプリケーション] ・以下のレジストリ値が追加されます。 HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes [URLs] データ： http://findg[削除].com/?&uid=7&q={searchTerms} HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes [URL] データ： http://findg[削除].com/?&uid=7&q={searchTerms} HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [IIL] データ： 00, 00, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltHI] データ： 00, 00, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltTST] データ： A5, 81, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [PRS] データ： http://127.0.0.1:27777/?inj=%ORIGINAL% HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [RunInvalidSignatures] データ： 01, 00, 00, 00 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "CleanUp Antivirus" データ： "CU167.exe" /s /d HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} [(既定)] データ： Implements DocHostUIHandler HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe] データ： SAb45b.exe:*:Enabled:Security Antivirus HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe] データ： SAb45b.exe:*:Enabled:Security Antivirus ・以下のレジストリキーが削除されます。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ・以下のレジストリキーが改変されます。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [CheckExeSignatures] データ： no HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch [Epoch] データ： 2D, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch [Epoch] 改変後のデータ： 2D, 00, 00, 00 ・以下のフォルダが作成されます。 c:\Documents and Settings\All Users\Application Data\091ed c:\Documents and Settings\All Users\Application Data\CUPIUA c:\Documents and Settings\%user%\Application Data\CleanUp Antivirus ・以下のファイルがドロップ（作成）／ダウンロードされます。 c:\Documents and Settings\All Users\Application Data\091ed\CU167.exe (サイズ： 3,020,800バイト) c:\Documents and Settings\All Users\Application Data\091ed\CUA.ico (サイズ： 4,286バイト) c:\Documents and Settings\All Users\Application Data\CUPIUA\CUDFSAMFQA.cfg (サイズ： 21,373バイト) c:\Documents and Settings\%USER%\Application Data\CleanUp Antivirus\Instructions.ini (サイズ： 1,245バイト) c:\Documents and Settings\%USER%\Application Data\Microsoft\Internet Explorer\Quick Launch\CleanUp Antivirus.lnk (サイズ： 1,772バイト) c:\Documents and Settings\%USER%\Desktop\335.mof (サイズ： 332バイト) c:\Documents and Settings\%USER%\Desktop\CleanUp Antivirus.lnk (サイズ： 1,754バイト) c:\Documents and Settings\%USER%\Start Menu\CleanUp Antivirus.lnk (サイズ： 1,754バイト) c:\Documents and Settings\%USER%\Start Menu\Programs\CleanUp Antivirus.lnk (サイズ： 1,760バイト) ・さらに、ユーザのハードディスクドライブの偽のスキャンを開始し、マシンがいくつかのマルウェアに感染していると偽ります。 ・FakeAlertは最小化して閉じることができますが、以下のようなポップアップメッセージをシステムトレイに表示し続けます。 ・hostsファイルが改変され、ユーザが以下のWebサイトにアクセスしようとすると、74.125.[削除] 67.215.240.[削除]にリダイレクトされます。 4-open-da[削除].com securityso[削除].com privatesecur[削除].com secure.privates[削除].com getantivi[削除].com secure-plus-[削除].com www.getantiviru[削除].com www.secure-plus[削除].com www.getav[削除].com safebrowsing-[削除].com urs.micro[削除].com www.securesoft[削除].com secure.paysecu[削除].com paysoftbill[削除].com protected.maxisoft[削除].com www.google.com google.com google.com.au www.google.com.au google.be vwww.google.be google.com.br www.google.com.br google.ca www.google.ca google.ch www.google.ch google.de www.google.de google.dk www.google.dk google.fr www.google.fr google.ie www.google.ie google.it www.google.it google.co.jp www.google.co.jp google.nl www.google.nl google.no www.google.no google.co.nz www.google.co.nz google.pl www.google.pl google.se www.google.se google.co.uk www.google.co.uk google.co.za www.google.co.za www.google-analytics.com www.bing.com search.yahoo.com www.search.yahoo.com uk.search.yahoo.com ca.search.yahoo.com de.search.yahoo.com fr.search.yahoo.com au.search.yahoo.com ・ユーザがインターネットにアクセスしようとすると、FakeAlert-AVPSec.dはユーザが攻撃を受けていると偽るメッセージを表示します。 ・以下のドメインにアクセスする可能性があります。 cleanupanti[削除].com secure2.safety[削除].xorg.pl update2.winsystem[削除].com 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る システムがひどく感染しているかのような偽の警告を表示します。 レジストリを改変します。 ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。 駆除方法 TOPへ戻る ■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。 Windows ME/XPでの駆除についての補足