ウイルス情報

ウイルス名 危険度

FakeAlert-FQ

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5679
対応定義ファイル
(現在必要とされるバージョン)
5856 (現在7659)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - Trojan.Win32.FraudPack.ajsj
Ikarus - Trojan.Win32.FakeAV
Comodo -TrojWare.Win32.Trojan.Agent.Gen
情報掲載日 2010/01/12
発見日(米国日付) 2009/07/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・他の亜種と同様、FakeAlert-FQはマシンが感染または危険にさらされているとユーザに警告する偽の警告メッセージを表示します。偽のメッセージの意図は、ユーザに広告しているスパイウェア対策製品を購入させることです。

ファイル情報

  • MD5 - 02168DD363E40B2283E19207E2CCDFAE
  • SHA - 12dab14d3205c3ebb8c2ac325a1bfad04fe02681
  • ファイルサイズ - 712704バイト

TOPへ戻る

ウイルスの特徴

・実行時、FakeAlert-FQはユーザに偽のマルウェア対策ソフトウェアをダウンロードするよう促します。

・ユーザがダウンロードボタンをクリックすると、FakeAlert-FQは偽のマルウェア対策ソフトウェアをダウンロードし、システムが感染していると警告してユーザをだまし、偽のマルウェア対策ソフトウェアをオンラインで購入させようとます。

・実行時、以下の場所に自身をコピーします。

  • %Temp%\settdebugx.exe

・さらに、以下のファイルをダウンロードします。

  • %Temp%\wscsvc32.exe [FakeAlert-FQという名前で検出]
  • %Temp%\dhdhtrdhdrtr5y
  • %ProgramFiles%\Malware Defense\mdext.dll [FakeAlert-FQという名前で検出]
  • %ProgramFiles%\Malware Defense\uninstall.exe [FakeAlert-FQという名前で検出]
  • %ProgramFiles%\Malware Defense\mdefense.exe [FakeAlert-FQという名前で検出]

・以下のレジストリキーがシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense]
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense]
  • [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Controls Folder]
  • [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\GDIPlus]

・以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\]
    "InprocServer32\:" = "C:\PROGRA~1\MALWAR~1\mdext.dll"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\InprocServer32\]
    "ThreadingModel:" = "Apartment"

・Windowsが起動するたびに自身を実行するRUN項目を登録します。

  • [HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\]
    "settdebugx.exe: " = "C:\DOCUME~1\Naveen\LOCALS~1\Temp\settdebugx.exe"
  • [HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\]
    "Malware Defense:" = "C:\Program Files\Malware Defense\mdefense.exe"

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]
    "Start:" = "0x00000004"

・上記のレジストリ項目により、Windowsセキュリティセンターサービスを無効にし、代わりに偽のWindows Security Centerを表示して、ユーザに偽のマルウェア対策製品を購入するよう指示します。

・FakeAlert-FQが実行されると、HTTPポート80を介して以下のサイトに接続します。

  • www.edite[削除].cn
  • www.copysc[削除].cn
  • www.summarysc[削除].cn
  • www.onlinesecu[削除].cn

・また、以下のMutexオブジェクトを作成します。

  • 01d459e5-e8c8-4483-acf0-92272daf7309
  • 6da54105-146e-4eea-9b09-b1ca3a54b726

[%Temp%はテンポラリフォルダ(例:C:\Documents and Settings\Administrator\Local Settings\Temp)、%ProgramFiles%はC:\Program Files]

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のサイトへの予期しないネットワーク接続が存在します。
  • 上記のMutexが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る