製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-LivePCGuard
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5916
対応定義ファイル
(現在必要とされるバージョン)
5917 (現在7607)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名FakeAlert-LivePCGuard.a
情報掲載日2010/03/26
発見日(米国日付)2010/03/10
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・FakeAlert-LivePCGuardは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を受けているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを購入するよう促します。

・FakeAlert-LivePCGuardは完全に自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

ウイルスの特徴TOPに戻る

・FakeAlert-LivePCGuardが実行されると、以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\3
  • HKEY_CLASSES_ROOT\SAb45b.DocHostUIHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[複数のアプリケーション]

・以下のレジストリ値が追加されます。

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes [URLs]
  • データ: http://findg[削除].com/?&uid=7&q={searchTerms}
  • HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes [URL]
  • データ: http://findg[削除].com/?&uid=7&q={searchTerms}
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [IIL]
  • データ: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltHI]
  • データ: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltTST]
  • データ: A5, 81, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [PRS]
  • データ: http://127.0.0.1:27777/?inj=%ORIGINAL%
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [RunInvalidSignatures]
  • データ: 01, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [Security Antivirus]
  • データ: "SAb45b.exe" /s /d
  • HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} [(既定)]
  • データ: Implements DocHostUIHandler
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe]
  • データ: SAb45b.exe:*:Enabled:Security Antivirus
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe]
  • データ: SAb45b.exe:*:Enabled:Security Antivirus

・以下のレジストリキーが削除されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

・以下のレジストリキーが改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [CheckExeSignatures]
  • データ: no
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch [Epoch]
  • データ: 2D, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch [Epoch]
  • 改変後のデータ: 2D, 00, 00, 00

・以下のフォルダが作成されます。

  • c:\Documents and Settings\All Users\Application Data\b45b499
  • c:\Documents and Settings\All Users\Application Data\SABSNJCUYAV
  • c:\Documents and Settings\%user%\Application Data\Security Antivirus

・以下のファイルがドロップ(作成)/ダウンロードされます。

  • c:\Documents and Settings\All Users\Application Data\b45b499\16.mof (サイズ: 334バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAb45b.exe (サイズ: 2,467,840バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAV.ico (サイズ: 4,286バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\BackUp\Adobe Reader Speed Launch.lnk (サイズ: 1,757バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAVSys\vd952342.bd (サイズ: 12,733バイト)
  • c:\Documents and Settings\All Users\Application Data\b45b499\SAVSys\VDAI.ntf (サイズ: 4,253バイト)
  • c:\Documents and Settings\All Users\Application Data\SABSNJCUYAV\SALYNUAV.cfg (サイズ: 21,677バイト)
  • c:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Antivirus.lnk (サイズ: 1,795バイト)
  • c:\Documents and Settings\%user%\Application Data\Security Antivirus\Instructions.ini (サイズ: 1,177バイト)
  • c:\Documents and Settings\%user%\Desktop\Security Antivirus.lnk (サイズ: 1,777バイト)
  • c:\Documents and Settings\%user%\Local Settings\Temp\1.exe (サイズ: 188,928バイト)
  • c:\Documents and Settings\%user%\Start Menu\Security Antivirus.lnk (サイズ: 1,777バイト)
  • c:\Documents and Settings\%user%\Start Menu\Programs\Security Antivirus.lnk (サイズ: 1,783バイト)

・さらに、ユーザのハードディスクドライブの偽のスキャンを開始し、マシンがいくつかのマルウェアに感染していると偽ります。

・FakeAlertは最小化して閉じることができますが、以下のようなポップアップメッセージをシステムトレイに表示し続けます。

・hostsファイルが改変され、ユーザが以下のWebサイトにアクセスしようとすると、74.125.[削除] 67.215.240.[削除]にリダイレクトされます。

  • 4-open-d[削除].com
  • securitysoftware[削除].com
  • privatesec[削除].com
  • secure.privatesec[削除].com
  • getantivir[削除].com
  • secure-pl[削除].com
  • www.getantivi[削除].com
  • www.secure-pl[削除].com
  • www.getavp[削除].com
  • safebrowsing-c[削除].com
  • urs.mic[削除].com
  • www.securesof[削除].com
  • secure.payse[削除].com
  • paysoftbills[削除].com
  • protected.maxiso[削除].com
  • www.google.com
  • google.com
  • google.com.au
  • www.google.com.au
  • google.be
  • vwww.google.be
  • google.com.br
  • www.google.com.br
  • google.ca
  • www.google.ca
  • google.ch
  • www.google.ch
  • google.de
  • www.google.de
  • google.dk
  • www.google.dk
  • google.fr
  • www.google.fr
  • google.ie
  • www.google.ie
  • google.it
  • www.google.it
  • google.co.jp
  • www.google.co.jp
  • google.nl
  • www.google.nl
  • google.no
  • www.google.no
  • google.co.nz
  • www.google.co.nz
  • google.pl
  • www.google.pl
  • google.se
  • www.google.se
  • google.co.uk
  • www.google.co.uk
  • google.co.za
  • www.google.co.za
  • www.google-analytics.com
  • www.bing.com
  • search.yahoo.com
  • www.search.yahoo.com
  • uk.search.yahoo.com
  • ca.search.yahoo.com
  • de.search.yahoo.com
  • fr.search.yahoo.com
  • au.search.yahoo.com

・ユーザがインターネットにアクセスしようとすると、FakeAlert-LivePCGuardはユーザが攻撃を受けていると偽るメッセージを表示します。

・以下のドメインにアクセスする可能性があります。

  • Secure-fi[削除].in
  • Protecteds[削除].in
  • Save-se[削除].com
  • Your-securepa[削除].com
  • Safeanti[削除].net
システムの改変

・以下は一般的なパス変数の既定値です。(異なる場合もありますが、一般的には以下のとおりです。)

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • システムがひどく感染しているかのような偽の警告を表示します。
  • レジストリを改変します。
  • ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足