製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-FQ
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5679
対応定義ファイル
(現在必要とされるバージョン)
5856 (現在7549)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Trojan.Win32.FraudPack.ajsj
Ikarus - Trojan.Win32.FakeAV
Comodo -TrojWare.Win32.Trojan.Agent.Gen
情報掲載日2010/01/12
発見日(米国日付)2009/07/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/01Downloader-F...
09/01RDN/Download...
09/01RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7549
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・他の亜種と同様、FakeAlert-FQはマシンが感染または危険にさらされているとユーザに警告する偽の警告メッセージを表示します。偽のメッセージの意図は、ユーザに広告しているスパイウェア対策製品を購入させることです。

ファイル情報

  • MD5 - 02168DD363E40B2283E19207E2CCDFAE
  • SHA - 12dab14d3205c3ebb8c2ac325a1bfad04fe02681
  • ファイルサイズ - 712704バイト

ウイルスの特徴TOPに戻る

・実行時、FakeAlert-FQはユーザに偽のマルウェア対策ソフトウェアをダウンロードするよう促します。

・ユーザがダウンロードボタンをクリックすると、FakeAlert-FQは偽のマルウェア対策ソフトウェアをダウンロードし、システムが感染していると警告してユーザをだまし、偽のマルウェア対策ソフトウェアをオンラインで購入させようとます。

・実行時、以下の場所に自身をコピーします。

  • %Temp%\settdebugx.exe

・さらに、以下のファイルをダウンロードします。

  • %Temp%\wscsvc32.exe [FakeAlert-FQという名前で検出]
  • %Temp%\dhdhtrdhdrtr5y
  • %ProgramFiles%\Malware Defense\mdext.dll [FakeAlert-FQという名前で検出]
  • %ProgramFiles%\Malware Defense\uninstall.exe [FakeAlert-FQという名前で検出]
  • %ProgramFiles%\Malware Defense\mdefense.exe [FakeAlert-FQという名前で検出]

・以下のレジストリキーがシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense]
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense]
  • [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Controls Folder]
  • [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\GDIPlus]

・以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\]
    "InprocServer32\:" = "C:\PROGRA~1\MALWAR~1\mdext.dll"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\InprocServer32\]
    "ThreadingModel:" = "Apartment"

・Windowsが起動するたびに自身を実行するRUN項目を登録します。

  • [HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\]
    "settdebugx.exe: " = "C:\DOCUME~1\Naveen\LOCALS~1\Temp\settdebugx.exe"
  • [HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\]
    "Malware Defense:" = "C:\Program Files\Malware Defense\mdefense.exe"

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]
    "Start:" = "0x00000004"

・上記のレジストリ項目により、Windowsセキュリティセンターサービスを無効にし、代わりに偽のWindows Security Centerを表示して、ユーザに偽のマルウェア対策製品を購入するよう指示します。

・FakeAlert-FQが実行されると、HTTPポート80を介して以下のサイトに接続します。

  • www.edite[削除].cn
  • www.copysc[削除].cn
  • www.summarysc[削除].cn
  • www.onlinesecu[削除].cn

・また、以下のMutexオブジェクトを作成します。

  • 01d459e5-e8c8-4483-acf0-92272daf7309
  • 6da54105-146e-4eea-9b09-b1ca3a54b726

[%Temp%はテンポラリフォルダ(例:C:\Documents and Settings\Administrator\Local Settings\Temp)、%ProgramFiles%はC:\Program Files]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のサイトへの予期しないネットワーク接続が存在します。
  • 上記のMutexが存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足