製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-GreenAV
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5728
対応定義ファイル
(現在必要とされるバージョン)
6067 (現在7507)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Mal/FakeAV-Gen [Sophos]Mal_FakeAV-11 [TrendMicro]Trj/Zlob.KH [Panda]Trojan-Downloader.FraudLoad.fka [VBA32]Trojan-Downloader.Win32.FraudLoad [Ikarus]Trojan-Downloader.Win32.FraudLoad!IK [Emsisoft]Trojan-Downloader.Win32.FraudLoad.fka [Kaspersky]Trojan.DL.FraudLoad.QZY [VirusBuster]Trojan.Fraudload-2578 [ClamAV]Trojan:Win32/FakeXPA [Microsoft]Trojan:Win32/FakeXPA [Microsoft]TrojWare.Win32.Downloader.FraudLoad.AA [Comodo] W32/DLoader.VBLW [Norman]W32/FakeAlert.4!Generic [F-Prot]Win32/GreenAV.D [CA eTrust]
情報掲載日2010/08/09
発見日(米国日付)2009/09/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・FakeAlert-GreenAVは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。

・ファイル名、接続するサイトなどの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。

ウイルスの特徴TOPに戻る

・実行時、以下のフォルダに自身のコピーをドロップ(作成)します。

  • %Appdata%\gra\wsav.exe

・以下のセキュリティ関連の製品の有無を確認しようとします。

  • %ProgramFiles%\Windows Defender
  • %ProgramFiles%\McAfee
  • %ProgramFiles%\Eset

・見つかると、製品を無効にしようとします。

注:
  • %Appdata%は可変の場所で、Windows XPマシンでは通常、「C:\Documents and Settings\user\Application Data」にある「アプリケーションデータ」フォルダを指しています。
  • %ProgramFiles%は可変の場所で、Windows XPマシンでは通常、「C:\Program Files」にある「プログラムファイル」フォルダを指しています。

・さらに、「C:\Windows\System32\drivers\etc」にあるHOSTSファイルを改変します。リダイレクトされるWebサイトは以下のとおりです。

  • 208.43.47.212 a1.review.zdnet.com
  • 208.43.47.212 reviews.riverstreams.co.uk
  • 208.43.47.212 d1.reviews.cnet.com
  • 208.43.47.212 review.2009softwarereviews.com
  • 208.43.47.212 reviews.download.com
  • 208.43.47.212 reviews.pcadvisor.co.uk
  • 208.43.47.212 reviews.pcmag.com
  • 208.43.47.212 reviews.pcpro.co.uk
  • 208.43.47.212 reviews.techradar.com
  • 208.43.47.212 toptenreviews.com
  • 208.43.47.212 reevoo.com

・C:\Windows\System32\Drivers\EtcにあるHOSTSファイルは、WindowsがURLのIPアドレスを解決するのに使われます。パフォーマンス上の理由から、Windowsは最初にHOSTSファイルを確認し、適切な項目が見つからない場合は、DNSおよびWINSを使用して、IPアドレスを解決しようとします。FakeAlert-GreenAVに感染すると、HOSTSファイルに入力される静的マッピングが失われます。

・上記のHOSTSファイルの改変により、これらのURLのネットワークトラフィックが208.43.47.212に向けられます。このIPアドレスはステージングサーバで、他のマルウェアが保管されている可能性があります。しかし、このウイルス情報の作成時には、このサイトはダウンしていました。

・さらに、TCPポート80で以下のリモートサーバへの接続が行われます。

  • p4678z.my-green-av.com/[削除]

・これにより、他の悪質なファイルがダウンロードされる可能性があります。しかし、このウイルス情報の作成時には、サイトはダウンしていました。

・次に、マシンで大げさなスキャンを実行し、偽のウイルス検出のアラートを生成します。これにより、FakeAlert-GreenAVが検出したとするマルウェアを駆除するため、ソフトウェアの完全版を購入するよう、ユーザに促します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリ項目が存在します。

感染方法TOPへ戻る

・FakeAlert-GreenAVは自己複製しません。多くの場合、その実行ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。ウイルスが届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。

駆除方法TOPへ戻る
■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足