-- 2010年2月4日更新 --
・実行時、以下の場所に自身をコピーします。
- %WinDir%\system32\smss32.exe
- %WinDir%\system32\winlogon32.exe
・以下のファイルをドロップ(作成)します。
- %WinDir%\system32\helper32.dll
- %WinDir%\system32\IS15.exe
- %WinDir%\system32\warning.html [JS/FakealertKryptikという名前で検出]
・以下のレジストリキーがシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-internet-security10.com]
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-internet-security10.com]
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-soft-download.com]
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download25.com]
・以下のレジストリ値が追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\]
"NoSetActiveDesktop:" = "0x00000001"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\]
"NoActiveDesktopChanges:"= "0x00000001"
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
"NoSetActiveDesktop:" = "0x00000001 "
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
"NoActiveDesktopChanges:"= "0x00000001"
・ユーザが偽のアラートを表示する壁紙を変更できないようにするため、以下のレジストリ値がFakeAlert-IS2010.dldrによって追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\]
"NoChangingWallpaper:" = "0x00000001"
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\]
"NoChangingWallpaper:" ="0x00000001"
・タスクマネージャを無効にするため、以下のレジストリ値がFakeAlert-IS2010.dldrによって追加されます。
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Policies\System\]
"DisableTaskMgr: = 0x00000001"
・Windowsが起動するたびに自身を実行するRUN項目を登録します。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
“smss32.exe: “ = “%WinDir%\system32\smss32.exe”
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Windows\CurrentVersion\Run\]
“smss32.exe:” = "%WinDir%\system32\smss32.exe"
・以下のレジストリ値が改変されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
"Userinit:" = "%WinDir%\system32\winlogon32.exe"
・上記のレジストリ項目により、Windowsが起動されるたびにFakeAlert-IS2010.dldrが実行されるようにします。
- [HKEY_USERS\S-1-(可変)\Software\Microsoft\Internet Explorer\Desktop\General\]
Wallpaper: "%WinDir%\system32\warning.html"
・上記のレジストリにより、偽のアラートを表示する背景画像を設定します。
注:- [%WinDir%はWindowsフォルダ。例:C:\Windows]
-------------------------------------------------------------------------------------------------------
ファイルプロパティ
- ファイルサイズ : 67,584バイト
- MD5 : 7C874B52EEE7196EF96DC8710B957033
- SHA1 : 927D84687C7246C4AEB43B6FDC534D6BFA8E23A9
別名
- Kaspersky : Backdoor.Win32.Bredolab.bvb
- Symantec : Trojan.Bredolab
- Microsoft : TrojanDownloader:Win32/Bredolab.AB
- AhnLab :Win-Trojan/Bredolab.67584.B
・FakeAlert-IS2010.dldrは、実行時、偽のアラートを表示して、ユーザにマルウェアの問題を「修復する」製品を購入させようとします。
・以下の場所に自身をコピーします。
- %Temp%\~TM163.tmp
- %Programs%\Startup\rarype32.exe
・また、以下のファイルをドロップ(作成)します。
・svchost.exeに挿入し、リモートポート4455を使って、「dollardr[削除]m.ru」に接続します。
・ユーザのシステムが乗っ取られると、偽のマルウェア対策ソフトウェアをダウンロードし、システムが感染していると警告し、乗っ取ったユーザに偽のマルウェア対策ソフトウェアをオンラインで購入させようとします。
(%Temp%はテンポラリフォルダ、%Programs%はC:\Documents and Settings\[ユーザ名]\Start Menu\Programs、%AppData%はC:\Documents and Settings\[ユーザ名]\Application Data)
