--2011年9月20日更新---
・FakeAlert-Rena.acは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。
・他の偽のウイルス対策ソフトウェアと同様、ウイルスを駆除するため、製品の登録を求めます。この登録の目的はユーザのクレジットカードの情報を盗み出すことであり、ユーザのシステムには、偽のウイルス対策ソフトウェア以外のウイルスは存在しません。
・実行時、FakeAlert-Rena.acはリモートポート80を介してspp-pr[削除].comに接続しようとします。
・以下のレジストリキーがシステムに追加されます。
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
_Security Protection_ = _"%Userprofile%\Desktop\defender.exe"
・上記のレジストリにより、FakeAlert-Rena.acがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
・以下のレジストリ値がシステムに追加されます。
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
_Security Protection_ = "%Userprofile%\Desktop\defender.exe"
・上記のレジストリにより、FakeAlert-Rena.acがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
・FakeAlert-Rena.acは以下の活動を行います。
- タスクマネージャ、regeditなどのシステムツールを無効にし、さらにウイルス対策プログラムなどを無効にします。
- 実行中のすべてのアプリケーションを閉じ、ユーザがアプリケーションを開けないようにします。
[注: C:\Documents and Settings\Administratorは%Userprofile%]
・FakeAlert-Rena.acは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。
・大げさなスキャンを実行し、偽の検出アラートメッセージと警告を生成します。偽のメッセージの意図は、ユーザに広告しているスパイウェア対策製品を購入させることです。
・実行時、リモートポート80を介してmw-[削除]tion.comに接続しようとします。
・以下のレジストリ値がシステムに追加されます。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
_Security Protection_ = "%Userprofile%\Desktop\defender.exe"
・上記のレジストリにより、FakeAlert-Rena.acがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
・FakeAlert-Rena.acは以下の活動を行います。
- タスクマネージャ、regeditなどのシステムツールを無効にし、さらにウイルス対策プログラムなどを無効にします。
- 実行中のすべてのアプリケーションを閉じ、ユーザがアプリケーションを開けないようにします。
- ユーザが起動しようとするアプリケーションを閉じます。
- .exeファイル(実行ファイル)、アプリケーションファイルの関連づけを変更する可能性があります。
・FakeAlert-Rena.acが一度に1回だけ動作するよう、以下のmutexが作成されます。
- Security Protection_MUTEX
