ウイルス情報

ウイルス名 危険度

FakeAlert-CN.gen.h

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6201
対応定義ファイル
(現在必要とされるバージョン)
6405 (現在7656)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Comodo - TrojWare.Win32.Trojan.Agent.Gen Kaspersky - Trojan.Win32.FakeAV.bllo
情報掲載日 2011/03/23
発見日(米国日付) 2010/12/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・FakeAlert-CN.gen.hはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

  • MD5 - 53fe46b0d32912f2f44579c80b49dd98
  • SHA1- 2ff1af77a557b89cc8fe14bca1ee28922b0b6620

--2011年4月7日更新---

ファイル情報

  • MD5 - D99FB848E82DCAA03B3F4C6AFA71F857
  • SHA - 312261FD639346F5CD89D30193070942C55E7A25

TOPへ戻る

ウイルスの特徴

--2011年4月7日更新---

・FakeAlert-CN.gen.hは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。

・FakeAlert-CN.gen.h [XP Anti-spyware 2011] は完全に自動でシステムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

・実行時、XP Anti-spyware 2011は以下の動作を行います。

  • 以下の画面を表示して、システムが感染したと称し、駆除のため、FakeAlert-CN.gen.hを登録するよう要求します。

・実行時、以下のファイルをドロップ(作成)します。

  • %AppData%\2571o7846i8h4xwr88b7
  • %AppData%\GDIPFONTCACHEV1.DAT
  • %Temp%\2571o7846i8h4xwr88b7
  • %USERPROFILE%\Templates\2571o7846i8h4xwr88b7

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Enum\Root\LEGACY_STISVC\0000\Control
  • HKEY_USERS\S-1-5-[不定]_Classes\exefile
  • HKEY_USERS\S-1-5-[不定]_Classes\exefile\shell\runas\command

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_STISVC\0000\Control\ActiveService: = "stisvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_STISVC\0000\Control\ActiveService = "stisvc"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\Identity = 0xAE4D9AC6
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\GDIPlus\FontCachePath: "%AppData% "

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\: "C:\Program Files\Mozilla Firefox\firefox.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mxg.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\: ""C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\: ""C:\Documents and Settings\Administrator\Desktop\mxg.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"

・上記のレジストリ項目により、ユーザがFirefox、IExplorer.exeアプリケーションなどのブラウザを開こうとすると、すぐにFakeAlert-CN.gen.hが実行されるようにします。

  • 「ir4cnxm3oi333」という名前のmutexを作成します。

・以下のドメインにアクセスします。

  • gokuz[削除].com
  • zuzos[削除].com
  • cujic[削除].com
  • nizokata[削除].com
  • jafy[削除].com
  • kynugy[削除].com
  • teta[削除].com
  • jeraki[削除].com
  • wamoj[削除].com
  • kyteva[削除].com
  • cylaky[削除].com
  • gicy[削除].com
  • daf[削除].com
  • jumone[削除].com
  • jebu[削除].com
  • wet[削除].com
  • beb[削除].com
  • sakafid[削除].com
  • kexi[削除].com
  • luko[削除].com
  • wylyx[削除].com
  • qepove[削除].com
  • dihem[削除].com
  • laqod[削除].com
  • fevah[削除].com
  • bemoj[削除].com
  • xyse[削除].com
  • kyxi[削除].com
  • rumes[削除].com
  • quxo[削除].com
  • syxi[削除].com

[注: %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data,%Temp% - C:\Documents and Settings\Administrator\Local Settings\Temp,%USERPROFILE% - C:\Documents and Settings\Administrator]


・FakeAlert-CN.gen.hは偽のXP Antivirus 2011で、非常にうっとうしく、ターゲットを怖がらせます。偽のウイルス対策プログラムは以下の警告メッセージを表示し、システムファイルが感染しており、コンピュータのウイルスを駆除するため、ウイルス対策プログラムを購入する必要があると伝えます。これにより、ユーザを脅し、ウイルス対策プログラムを購入させようとします。

・実行時、リモートポート80を介して以下のサイトに接続し、悪質なファイルをダウンロードします。

  • irubire[削除].com
  • ropun[削除].com

・以下のファイルをドロップ(作成)します。

  • %UserProfile%\Local Settings\Application Data\(+.X)+.,-V),X
  • %AppData%\(+.X)+.,-V),X
  • %Temp%\(+.X)+.,-V),X
  • %UserProfile%\Templates\(+.X)+.,-V),X

・以下のレジストリキーがシステムに追加されます。

  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command

・以下のレジストリ値がシステムに追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    Identity = 0x17AB1EEE
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command\:
    = ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\
    = "exefile"
    Content Type= "application/x-msdownload"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command\
    = ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
    IsolatedCommand= ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand= ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\
    = "Application"
    Content Type= "application/x-msdownload"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command\
    = ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
    IsolatedCommand= ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\
    = "exefile"
    Content Type= "application/x-msdownload"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command\
    = ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
    IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command\
    = ""%1" %*"
    IsolatedCommand= ""%1" %*"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon\
    = "%1"
  • HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\
    = "Application"
    Content Type= "application/x-msdownload"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\
    = ""%UserProfile%\Desktop\eom.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\
    = ""%UserProfile%\Desktop\eom.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\
    = ""%UserProfile%\Desktop\eom.exe" -a "%ProgramFiles%\Internet Explorer\iexplore.exe""
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\
    = "FIREFOX.EXE"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\
    = "IEXPLORE.EXE"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    UpdatesDisableNotify = 00000001
    AntiVirusDisableNotify = 00000001
    FirewallDisableNotify = 00000001
    AntiVirusOverride = 00000001
    FirewallOverride = 00000001

・上記のレジストリ項目により、ファイアウォールの通知を無効にします。

・以下のサービスを停止しようとします。

  • wscsvc
  • wuauserv
  • WinDefend
  • MsMpSvc

・また、プロセス名に以下の文字列が含まれていないか検索し、一致する文字列が見つかった場合、プロセスを終了しようとします。

  • AVG Technologies
  • ALWIL Software
  • Malwarebytes
  • Lavasoft
  • MpCmdRun.exe
  • MsMpEng.exe
  • NisSrv.exe
  • msseces.exe
注: [ %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data, %UserProfile% - c:\Documents and Settings\[ユーザ名]\, %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp\, %ProgramFiles% - C:\Program Files]

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・FakeAlert-CN.gen.hのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

・FakeAlert-CN.gen.hは「xyke[削除].com」に接続します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る