McAfee for Small Businesses

ウイルス名 危険度 FakeAlert-AntiVirusPro.gen.f 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6092 対応定義ファイル (現在必要とされるバージョン) 6150　（現在7084) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 DrWeb - Trojan.Fakealert.18561 F-Secure - Gen:Variant.Kazy.1215 Microsoft - Trojan:Win32/Tibs.IT Symantec - Trojan.FakeAV!gen36 情報掲載日 2010/11/10 発見日（米国日付） 2010/09/01 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・「FakeAlert-AntiVirusPro.gen.f」は偽のメッセージを表示し、実際には存在しない脅威を取り除くため、有料でソフトウェアを登録する必要があるとユーザに通知するトロイの木馬です。 ・また、search[削除].orgに接続して悪質なファイルをダウンロードします。 ・実行時、以下の場所に自身をコピーし、その後、自身を削除します。 %Temp%\dfrgsnapnt.exe - [FakeAlert-AntiVirusPro.gen.fという名前で検出] %Temp%\topwesitjh - [FakeAlert-AntiVirusPro.gen.fという名前で検出] ・以下のファイルをドロップ（作成）します。 %Temp%\wscsvc32.exe [FakeAlert-DefCnt.dという名前で検出] %Temp%\eapp32hst.dll [FakeAlert-OZという名前で検出] %Temp%\tmp2B7D.tmp [FakeAlert-DefCnt.dという名前で検出] %Temp%\asd2C.tmp.exe [FakeAlert-AntiVirusPro.gen.fという名前で検出] %Temp%\asd2C.tmp %UserProfile%\Desktop\spam001.exe %UserProfile%\Desktop\spam003.exe %UserProfile%\Desktop\troj000.exe ・コンピュータで動作し続けられるよう、上記のファイルからDLLファイル（eapp32hst.dll）がWindowsエクスプローラのプロセスに挿入されます。 ・「asd2C.tmp.exe」ファイルはWindowsセキュリティセンターに似たダイアログボックスを表示し、正規のセキュリティ製品をアンインストールしようとします。また、自身の悪質なソフトウェアや偽のソフトウェアをインストールします。 ・以下を参照してください。 ・以下の偽のバルーンヒントを表示します。 ・以下の偽のAntivirus Installerのセットアップ画面を表示します。 ・以下のデスクトップショートカットを作成します。ユーザがショートカットをクリックすると、ポルノサイトに誘導します。 %UserProfile%\Desktop\nudetube.com.lnk %UserProfile%\Desktop\pornotube.com.lnk %UserProfile%\Desktop\youporn.com.lnk ・以下のレジストリキーが追加されます。 HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System ・以下のレジストリ値が追加されます。 HKEY_CURRENT_USER\S-1-[不定]\Printers\Connections\ affid = "139" subid = "1" ver = "4.0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ DisableTaskMgr = “0x00000001” HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableTaskMgr = “0x00000001” ・上記のレジストリにより、タスクマネージャを無効にします。 HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ dfrgsnapnt.exe = "%Temp%\dfrgsnapnt.exe" ・上記のレジストリ項目により、Windowsが起動するたびにFakeAlert-AntiVirusPro.gen.fが実行されるようにします。 ・コンピュータにインストールされている以下の正規のソフトウェアをアンインストールするよう促します。 CyberScrub Privacy Suite Loaris Trojan Remover Prot Antivirus BullGuard E scan Ad-Aware Spyware Doctor ZoneAlarm SpyHunter Hitman Pro 3.5 Outpost Firewall Pro AVG9 Dr. Web Panda Security Online Armor COMODO Internet Security Microsoft Security Essentials F-Secure Anti-Virus Malwarebytes' Anti-Malware_is1 NOD32 Agnitum Outpost Security Suite Pro_is1 Avira AntiVir Desktop MSC avast! AntiVir PersonalEdition Classic AVG8 NIS Spycheck Antispyware Kaspersky Internet Security Symantec Priwate FireWall Malwarebytes Bit Defender Sophos ・以下のフォルダをシステムに追加します。 %ProgramFiles%\AnVi ・実行後、FakeAlert-AntiVirusPro.gen.fは自身を削除します。 [注： %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp] %ProgramFiles% - C:\Program Files, %UserProfile% - C:\Documents and Settings\Administrator] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・以下のサイトに接続します。 nudetube.com pornotube.com youporn.com searchbad.org/customers/readdatagateway.php?type=stats&affid=263&subid=n01&installruns&version=4.0 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。