製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-SecurityTool.f
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6127
対応定義ファイル
(現在必要とされるバージョン)
6137 (現在7516)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Symantec: Trojan.FakeAV!gen39 Avast: Win32:FakeAlert-QF F-Prot: W32/FakeAlert.HX.gen!Eldorado
情報掲載日2010/10/22
発見日(米国日付)2010/10/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/30RDN/Generic....
07/30RDN/Generic....
07/30Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7516
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・「FakeAlert-SecurityTool.f」はマシンが感染または危険にさらされているとユーザに警告する偽の警告メッセージを表示します。偽のメッセージの意図は、ユーザに広告しているスパイウェア対策製品を購入させることです。

ファイル情報:

  • MD5 - A45363D72DE6B1FF5B47409373DD4512
  • SHA1 - 9AB6BEE85620B8C4B09DB3148709412289502E9A

ウイルスの特徴TOPに戻る

・FakeAlert-SecurityTool.fは、偽のアラートを表示して、ユーザにマルウェアの問題を「修復する」製品を購入させようとするトロイの木馬です。

・実行時、リモートポート80を使って195.[削除]2.186に接続し、システムトレイに偽の警告メッセージを表示します。システムが感染しているとするバルーンヒントがシステムトレイに表示されます。また、システムがコンピュータウイルスにひどく感染しているとするGUIが開きます。

クリックすると拡大します

・FakeAlert-SecurityTool.fはターゲットマシンをスキャンし、乗っ取ったユーザにマシンが感染していると思わせます。

・乗っ取ったユーザが「Remove all threats now」をクリックすると、以下のメッセージを表示し、問題を解決するため、ユーザに製品をアクティベートするよう促します。

・ユーザが「Activate Security tool」をクリックすると、以下のWebサイトにリダイレクトして、感染を駆除するため、偽のソフトウェアを購入するよう促します。

  • casua[削除]ents.com、リモートポート80を使用

クリックすると拡大します

・実行時、以下の場所に自身をコピーします。

  • %AppData%\ 2372463517.exe

・以下のファイルがシステムに追加されます。

  • %StartMenu%\Programs\Security Tool.lnk

・以下のレジストリキーがシステムに追加されます。

  • HKEY_USERS\S-1-5-(不定)\ Software\Microsoft\Windows\CurrentVersion\RunOnceThe following registry value has been added to the system:
  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\RunOnce\]
    2372463517="%AppData%\2372463517.exe" 0 33 "

・上記のレジストリ項目により、Windowsが起動するたびにFakeAlert-SecurityTool.fが実行されるようにします。

[%AppData%はアプリケーション固有のデータの一般的なレジストリとして使われるファイルシステムフォルダを指す変数です。一般的なパスはC:\Documents and Settings\[ユーザ名]\Application Dataです。%StartMenu% - C:\Documents and Settings\[ユーザ名]\Start Menu]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • システムがひどく感染しているかのような偽の警告を表示します。
  • レジストリを改変します。
  • ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足