製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-CN.gen.aa
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6314
対応定義ファイル
(現在必要とされるバージョン)
6484 (現在7565)
対応エンジン5.3.01以降 (現在5600) 
エンジンバージョンの見分け方
別名F-Prot - W32/FakeAlert.PH Kaspersky - Trojan.Win32.FakeAV.cmcs Microsoft - Rogue:Win32/FakeRean Symantec - XPAntivirus
情報掲載日2011/04/21
発見日(米国日付)2011/04/12
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・FakeAlert-CN.gen.aaはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

  • MD5 - 9ee86da4b792cae447dbaa2001d0588a
  • SHA1 - b456801289dc5ded8c154d8286449f057860ae60

ウイルスの特徴TOPに戻る

・実行時、FakeAlert-CN.gen.aaはリモートポート80を介して208.110.[削除]に接続し、悪質なファイルをダウンロードします。

・実行のたびに以下のような偽のウイルス対策製品の名前を表示します。

  • XP Anti-Spyware
  • XP Total Security 2011
  • XP Home Security..

・実行時、以下のファイルシステムにをドロップ(作成)します。

  • %AppData%\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784
  • %Temp%\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784
  • %UserProfile%\Local Settings\Application Data\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784
  • %UserProfile%\Local Settings\Application Data\jpj.exe
  • %UserProfile%\Templates\2s22w7m80644je3p6opmh763e52iwdktya6q0s7jq0h784

・以下の偽のダイアログ、アイコン、警告、ポップアップなどを表示します。

・さらに、エラーを取り除くため、アプリケーションのフルライセンスを購入するよう促します。

・以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command

・以下のレジストリ値が追加されます。

  • HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\
    Identity = 0xBB9461F6
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\
    DisableNotifications = 0x1
    DoNotAllowExceptions= 0x0
    EnableFirewall = 0x0
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
    DisableNotifications = 0x1
    DoNotAllowExceptions = 0x0
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command\
    = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\
    = "exefile"
    Content Type= "application/x-msdownload"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command\
    = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*"
    IsolatedCommand= ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand= ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\
    = "Application"
    Content Type= "application/x-msdownload"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command\
    = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand= ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\
    = "exefile"
    Content Type = "application/x-msdownload"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command\
    = ""%UserProfile%\Desktop\yir.exe" -a "%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\
    = "Application"
    Content Type = "application/x-msdownload"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\
    FirewallOverride = 0x1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\
    = ""%UserProfile%\Desktop\yir.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\
    = ""%UserProfile%\Desktop\yir.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\
    = ""%UserProfile%\Desktop\yir.exe" -a "%ProgramFiles%\Internet Explorer\iexplore.exe""
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\
    = "FIREFOX.EXE"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\
    = "IEXPLORE.EXE"

・以下のウイルス対策製品のプロセスと文字列を検索し、強制終了します。

  • AVG Technologies
  • ALWIL Software
  • Malwarebytes
  • Lavasoft
  • MpCmdRun.exe
  • MsMpEng.exe
  • NisSrv.exe
  • msseces.exe
注: [%UserProfile% - C:\Documents and Settings\[ユーザ名], %ProgramFiles% - C:\Program Files, %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data,

%Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のIPアドレスへの予期しない接続が存在します。
  • 上記のレジストリキーおよびファイルが存在します。
  • また、以下のサイトに接続します。
  • gopilezav[削除].com
  • cixov[削除].com
  • celis[削除].com
  • vaky[削除].com
  • zequci[削除].com
  • rorod[削除].com
  • qupaju[削除].com
  • bemolaq[削除].com
  • hivan[削除].com
  • tisatosy[削除].com
  • wolycun[削除].com
  • pikiloky[削除].com
  • hotilo[削除].com
  • zajatim[削除].com
  • jerakidu[削除].com
  • tetagy[削除].com
  • wamojaf[削除].com
  • kytevaviq[削除].com
  • wetot[削除].com
  • sakafidu[削除].com
  • bemojewe[削除].com
  • gicyxe[削除].com
  • fevahan[削除].com
  • cylaky[削除].com
  • kynugy[削除].com
  • jafy[削除].com
  • sykobod[削除].com
  • nizokata[削除].com
  • cujic[削除].com
  • logam[削除].com
  • myqanuj[削除].com
  • qyvyz[削除].com
  • lofol[削除].com
  • folevone[削除].com

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。