McAfee for Small Businesses

ウイルス名 危険度 FakeAlert-CN.gen.aa 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6314 対応定義ファイル (現在必要とされるバージョン) 6484　（現在7084) 対応エンジン 5.3.01以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 F-Prot - W32/FakeAlert.PH Kaspersky - Trojan.Win32.FakeAV.cmcs Microsoft - Rogue:Win32/FakeRean Symantec - XPAntivirus 情報掲載日 2011/04/21 発見日（米国日付） 2011/04/12 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・実行時、FakeAlert-CN.gen.aaはリモートポート80を介して208.110.[削除]に接続し、悪質なファイルをダウンロードします。 ・実行のたびに以下のような偽のウイルス対策製品の名前を表示します。 XP Anti-Spyware XP Total Security 2011 XP Home Security.. ・実行時、以下のファイルシステムにをドロップ（作成）します。 %AppData%\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784 %Temp%\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784 %UserProfile%\Local Settings\Application Data\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784 %UserProfile%\Local Settings\Application Data\jpj.exe %UserProfile%\Templates\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784 ・以下の偽のダイアログ、アイコン、警告、ポップアップなどを表示します。 ・さらに、エラーを取り除くため、アプリケーションのフルライセンスを購入するよう促します。 ・以下のレジストリキーが追加されます。 HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command ・以下のレジストリ値が追加されます。 HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\ Identity = 0xBB9461F6 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\ DisableNotifications = 0x1 DoNotAllowExceptions= 0x0 EnableFirewall = 0x0 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\ DisableNotifications = 0x1 DoNotAllowExceptions = 0x0 HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command\ = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*" IsolatedCommand = ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command\ = ""%1" %*" IsolatedCommand = ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon\ = "%1" HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\ = "exefile" Content Type= "application/x-msdownload" HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command\ = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*" IsolatedCommand= ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command\ = ""%1" %*" IsolatedCommand= ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon\ = "%1" HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\ = "Application" Content Type= "application/x-msdownload" HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command\ = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*" IsolatedCommand = ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command\ = ""%1" %*" IsolatedCommand= ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon\ = "%1" HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\ = "exefile" Content Type = "application/x-msdownload" HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command\ = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*" IsolatedCommand = ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command\ = ""%1" %*" IsolatedCommand = ""%1" %*" HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon\ = "%1" HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\ = "Application" Content Type = "application/x-msdownload" ・以下のレジストリ値が改変されます。 HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\ FirewallOverride = 0x1 HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\ = ""%UserProfile%\Desktop\yir.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe"" HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\ = ""%UserProfile%\Desktop\yir.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode" HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\ = ""%UserProfile%\Desktop\yir.exe" -a "%ProgramFiles%\Internet Explorer\iexplore.exe"" HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\ = "FIREFOX.EXE" HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\ = "IEXPLORE.EXE" ・以下のウイルス対策製品のプロセスと文字列を検索し、強制終了します。 AVG Technologies ALWIL Software Malwarebytes Lavasoft MpCmdRun.exe MsMpEng.exe NisSrv.exe msseces.exe 注： [%UserProfile% - C:\Documents and Settings\[ユーザ名], %ProgramFiles% - C:\Program Files, %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data, %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のIPアドレスへの予期しない接続が存在します。 上記のレジストリキーおよびファイルが存在します。 また、以下のサイトに接続します。 gopilezav[削除].com cixov[削除].com celis[削除].com vaky[削除].com zequci[削除].com rorod[削除].com qupaju[削除].com bemolaq[削除].com hivan[削除].com tisatosy[削除].com wolycun[削除].com pikiloky[削除].com hotilo[削除].com zajatim[削除].com jerakidu[削除].com tetagy[削除].com wamojaf[削除].com kytevaviq[削除].com wetot[削除].com sakafidu[削除].com bemojewe[削除].com gicyxe[削除].com fevahan[削除].com cylaky[削除].com kynugy[削除].com jafy[削除].com sykobod[削除].com nizokata[削除].com cujic[削除].com logam[削除].com myqanuj[削除].com qyvyz[削除].com lofol[削除].com folevone[削除].com 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。