--2011年4月7日更新---
・FakeAlert-CN.gen.hは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。
・FakeAlert-CN.gen.h [XP Anti-spyware 2011] は完全に自動でシステムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。
・実行時、XP Anti-spyware 2011は以下の動作を行います。
- 以下の画面を表示して、システムが感染したと称し、駆除のため、FakeAlert-CN.gen.hを登録するよう要求します。
・実行時、以下のファイルをドロップ(作成)します。
- %AppData%\2571o7846i8h4xwr88b7
- %AppData%\GDIPFONTCACHEV1.DAT
- %Temp%\2571o7846i8h4xwr88b7
- %USERPROFILE%\Templates\2571o7846i8h4xwr88b7
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Enum\Root\LEGACY_STISVC\0000\Control
- HKEY_USERS\S-1-5-[不定]_Classes\exefile
- HKEY_USERS\S-1-5-[不定]_Classes\exefile\shell\runas\command
・以下のレジストリ値がシステムに追加されます。
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_STISVC\0000\Control\ActiveService: = "stisvc"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_STISVC\0000\Control\ActiveService = "stisvc"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\Identity = 0xAE4D9AC6
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\GDIPlus\FontCachePath: "%AppData% "
・以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\: "C:\Program Files\Mozilla Firefox\firefox.exe"
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mxg.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe""
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\: ""C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\: ""C:\Documents and Settings\Administrator\Desktop\mxg.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"
・上記のレジストリ項目により、ユーザがFirefox、IExplorer.exeアプリケーションなどのブラウザを開こうとすると、すぐにFakeAlert-CN.gen.hが実行されるようにします。
- 「ir4cnxm3oi333」という名前のmutexを作成します。
・以下のドメインにアクセスします。
- gokuz[削除].com
- zuzos[削除].com
- cujic[削除].com
- nizokata[削除].com
- jafy[削除].com
- kynugy[削除].com
- teta[削除].com
- jeraki[削除].com
- wamoj[削除].com
- kyteva[削除].com
- cylaky[削除].com
- gicy[削除].com
- daf[削除].com
- jumone[削除].com
- jebu[削除].com
- wet[削除].com
- beb[削除].com
- sakafid[削除].com
- kexi[削除].com
- luko[削除].com
- wylyx[削除].com
- qepove[削除].com
- dihem[削除].com
- laqod[削除].com
- fevah[削除].com
- bemoj[削除].com
- xyse[削除].com
- kyxi[削除].com
- rumes[削除].com
- quxo[削除].com
- syxi[削除].com
[注: %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data,%Temp% - C:\Documents and Settings\Administrator\Local Settings\Temp,%USERPROFILE% - C:\Documents and Settings\Administrator]
・FakeAlert-CN.gen.hは偽のXP Antivirus 2011で、非常にうっとうしく、ターゲットを怖がらせます。偽のウイルス対策プログラムは以下の警告メッセージを表示し、システムファイルが感染しており、コンピュータのウイルスを駆除するため、ウイルス対策プログラムを購入する必要があると伝えます。これにより、ユーザを脅し、ウイルス対策プログラムを購入させようとします。
・実行時、リモートポート80を介して以下のサイトに接続し、悪質なファイルをダウンロードします。
- irubire[削除].com
- ropun[削除].com
・以下のファイルをドロップ(作成)します。
- %UserProfile%\Local Settings\Application Data\(+.X)+.,-V),X
- %AppData%\(+.X)+.,-V),X
- %Temp%\(+.X)+.,-V),X
- %UserProfile%\Templates\(+.X)+.,-V),X
・以下のレジストリキーがシステムに追加されます。
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command
- HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon
- HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command
- HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command
- HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon
- HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command
- HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command
・以下のレジストリ値がシステムに追加されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows
Identity = 0x17AB1EEE
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\open\command\:
= ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
IsolatedCommand = ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\shell\runas\command\
= ""%1" %*"
IsolatedCommand = ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\DefaultIcon\
= "%1"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\.exe\
= "exefile"
Content Type= "application/x-msdownload"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\open\command\
= ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
IsolatedCommand= ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\shell\runas\command\
= ""%1" %*"
IsolatedCommand= ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\DefaultIcon\
= "%1"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Classes\exefile\
= "Application"
Content Type= "application/x-msdownload"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\open\command\
= ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
IsolatedCommand= ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\shell\runas\command\
= ""%1" %*"
IsolatedCommand = ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\DefaultIcon\
= "%1"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\.exe\
= "exefile"
Content Type= "application/x-msdownload"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\open\command\
= ""%UserProfile%\Desktop\eom.exe" -a "%1" %*"
IsolatedCommand = ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\shell\runas\command\
= ""%1" %*"
IsolatedCommand= ""%1" %*"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\DefaultIcon\
= "%1"
- HKEY_CURRENT_USER\S-1-[不定]_Classes\exefile\
= "Application"
Content Type= "application/x-msdownload"
・以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\
= ""%UserProfile%\Desktop\eom.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe""
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\
= ""%UserProfile%\Desktop\eom.exe" -a "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode"
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\
= ""%UserProfile%\Desktop\eom.exe" -a "%ProgramFiles%\Internet Explorer\iexplore.exe""
- HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\
= "FIREFOX.EXE"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Clients\StartMenuInternet\
= "IEXPLORE.EXE"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
UpdatesDisableNotify = 00000001
AntiVirusDisableNotify = 00000001
FirewallDisableNotify = 00000001
AntiVirusOverride = 00000001
FirewallOverride = 00000001
・上記のレジストリ項目により、ファイアウォールの通知を無効にします。
・以下のサービスを停止しようとします。
- wscsvc
- wuauserv
- WinDefend
- MsMpSvc
・また、プロセス名に以下の文字列が含まれていないか検索し、一致する文字列が見つかった場合、プロセスを終了しようとします。
- AVG Technologies
- ALWIL Software
- Malwarebytes
- Lavasoft
- MpCmdRun.exe
- MsMpEng.exe
- NisSrv.exe
- msseces.exe
注: [ %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data, %UserProfile% - c:\Documents and Settings\[ユーザ名]\, %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp\, %ProgramFiles% - C:\Program Files]
