ウイルス情報

ウイルス名 危険度

FakeAlert-AntiVirusPro.gen.f

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6092
対応定義ファイル
(現在必要とされるバージョン)
6150 (現在7634)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 DrWeb - Trojan.Fakealert.18561 F-Secure - Gen:Variant.Kazy.1215 Microsoft - Trojan:Win32/Tibs.IT Symantec - Trojan.FakeAV!gen36
情報掲載日 2010/11/10
発見日(米国日付) 2010/09/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・FakeAlert-AntiVirusPro.gen.fはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

  • MD5 - 6C45EA89F2BF317F7ADF5F13DA66BC98
  • SHA1 - 8CDBA635A1CF233356CF60DC228EDFA47F1BD968

TOPへ戻る

ウイルスの特徴

・「FakeAlert-AntiVirusPro.gen.f」は偽のメッセージを表示し、実際には存在しない脅威を取り除くため、有料でソフトウェアを登録する必要があるとユーザに通知するトロイの木馬です。

・また、search[削除].orgに接続して悪質なファイルをダウンロードします。

・実行時、以下の場所に自身をコピーし、その後、自身を削除します。

  • %Temp%\dfrgsnapnt.exe - [FakeAlert-AntiVirusPro.gen.fという名前で検出]
  • %Temp%\topwesitjh - [FakeAlert-AntiVirusPro.gen.fという名前で検出]

・以下のファイルをドロップ(作成)します。

  • %Temp%\wscsvc32.exe [FakeAlert-DefCnt.dという名前で検出]
  • %Temp%\eapp32hst.dll [FakeAlert-OZという名前で検出]
  • %Temp%\tmp2B7D.tmp [FakeAlert-DefCnt.dという名前で検出]
  • %Temp%\asd2C.tmp.exe [FakeAlert-AntiVirusPro.gen.fという名前で検出]
  • %Temp%\asd2C.tmp
  • %UserProfile%\Desktop\spam001.exe
  • %UserProfile%\Desktop\spam003.exe
  • %UserProfile%\Desktop\troj000.exe

・コンピュータで動作し続けられるよう、上記のファイルからDLLファイル(eapp32hst.dll)がWindowsエクスプローラのプロセスに挿入されます。

・「asd2C.tmp.exe」ファイルはWindowsセキュリティセンターに似たダイアログボックスを表示し、正規のセキュリティ製品をアンインストールしようとします。また、自身の悪質なソフトウェアや偽のソフトウェアをインストールします。

・以下を参照してください。

クリックすると拡大します

・以下の偽のバルーンヒントを表示します。

・以下の偽のAntivirus Installerのセットアップ画面を表示します。

クリックすると拡大します

・以下のデスクトップショートカットを作成します。ユーザがショートカットをクリックすると、ポルノサイトに誘導します。

  • %UserProfile%\Desktop\nudetube.com.lnk
  • %UserProfile%\Desktop\pornotube.com.lnk
  • %UserProfile%\Desktop\youporn.com.lnk

・以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System

・以下のレジストリ値が追加されます。

  • HKEY_CURRENT_USER\S-1-[不定]\Printers\Connections\
    affid = "139"
    subid = "1"
    ver = "4.0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\
    DisableTaskMgr = “0x00000001”
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System\
    DisableTaskMgr = “0x00000001”

・上記のレジストリにより、タスクマネージャを無効にします。

  • HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    dfrgsnapnt.exe = "%Temp%\dfrgsnapnt.exe"

・上記のレジストリ項目により、Windowsが起動するたびにFakeAlert-AntiVirusPro.gen.fが実行されるようにします。

・コンピュータにインストールされている以下の正規のソフトウェアをアンインストールするよう促します。

  • CyberScrub Privacy Suite
  • Loaris Trojan Remover
  • Prot Antivirus
  • BullGuard
  • E scan
  • Ad-Aware
  • Spyware Doctor
  • ZoneAlarm
  • SpyHunter
  • Hitman Pro 3.5
  • Outpost Firewall Pro
  • AVG9
  • Dr. Web
  • Panda Security
  • Online Armor
  • COMODO Internet Security
  • Microsoft Security Essentials
  • F-Secure Anti-Virus
  • Malwarebytes' Anti-Malware_is1
  • NOD32
  • Agnitum Outpost Security Suite Pro_is1
  • Avira AntiVir Desktop
  • MSC
  • avast!
  • AntiVir PersonalEdition Classic
  • AVG8
  • NIS
  • Spycheck Antispyware
  • Kaspersky Internet Security
  • Symantec
  • Priwate FireWall
  • Malwarebytes
  • Bit Defender
  • Sophos

・以下のフォルダをシステムに追加します。

  • %ProgramFiles%\AnVi

・実行後、FakeAlert-AntiVirusPro.gen.fは自身を削除します。

[注: %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp]
%ProgramFiles% - C:\Program Files, %UserProfile% - C:\Documents and Settings\Administrator]

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のサイトに接続します。

  • nudetube.com
  • pornotube.com
  • youporn.com
  • searchbad.org/customers/readdatagateway.php?type=stats&affid=263&subid=n01&installruns&version=4.0

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。

TOPへ戻る