製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-SpyPro.gen.a
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5855
対応定義ファイル
(現在必要とされるバージョン)
6328 (現在7509)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名AVG - Dropper.Generic3.BIAY Kaspersky - Trojan.Win32.FakeAV.cthr NOD32 - a variant of Win32/Injector.FXP Microsoft - Rogue:Win32/FakeRean Kaspersky - Trojan.Win32.FraudPack.allj Microsoft - Trojan:Win32/FakeSpypro Sophos - Troj/FakeAV-AVQ TrendMicro - TROJ_FRAUDPAC.LV
情報掲載日2010/02/18
発見日(米国日付)2010/01/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/23RDN/Generic....
07/23RDN/Generic....
07/23FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7509
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・FakeAlert-SpyPro.gen.aはマシンが感染または危険にさらされているとユーザに警告する偽の警告メッセージを表示します。偽のメッセージの意図は、ユーザに広告しているスパイウェア対策製品を購入させることです。

・FakeAlert-SpyPro.gen.aは乗っ取ったシステムにAntivirus Softを完全に自動でインストールし、ウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

・FakeAlert-SpyPro.gen.aは、偽のアラートを表示して、ユーザにマルウェアの問題を「修復する」製品を購入させようとするトロイの木馬です。

ファイル情報:

  • MD5 - BD5E13B111BB72BD9EA3EA78C0C5E33F
  • SHA1 - 408C25E5C7F2DD50EE24DD682C35CD69E98D9096
  • ファイルサイズ - 278784バイト

--2010年4月27日更新---

ファイル情報

  • MD5 - 0AC8251D670687DDFA24D5C57DB65859
  • SHA - C093472E542E86189790DF681FB2DC554159CBF4

ウイルスの特徴TOPに戻る

・FakeAlert-SpyPro.gen.aは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。

・大げさなスキャンを実行し、偽の検出アラートメッセージと警告を生成します。偽のメッセージの意図は、ユーザに宣伝しているスパイウェア対策製品を購入させることです。

・実行時、リモートポート80を介して以下のサイトに接続します。

  • Lixumo[削除]yfo.com
  • Rywoxe[削除]omecig.com

・ユーザがこの偽のウイルス対策ソフトウェアを登録しようとすると、IExplore.exeがリモートポート80を介して以下のサイトにリダイレクトされます。

  • Hijocy[削除]agap.com

・以下のファイルをドロップ(作成)します。

  • %Userprofile%\Local Settings\Application Data\3an1wlj6e7e2m2272rk80223m7nce11usw6a4
  • %Userprofile%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
  • %Temp%\3an1wlj6e7e2m2272rk80223m7nce11usw6a4
  • %Userprofile%\Templates\3an1wlj6e7e2m2272rk80223m7nce11usw6a4
  • %Systemdrive%\Documents and Settings\All Users\Application Data\3an1wlj6e7e2m2272rk80223m7nce11usw6a4

・以下のレジストリキーがシステムに追加されます。

  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\GDIPlus
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile

・以下のレジストリ値がシステムに追加されます。

  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe""

・上記のレジストリ項目により、ユーザがfirefox、IExplorer.exeアプリケーションなどのブラウザを開こうとすると、すぐにFakeAlert-SpyPro.gen.aが実行されるようにします。

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


・実行時、FakeAlert-SpyPro.gen.aは、ユーザが何もしなくても、リモートサイトからAntivirus Softをバックグラウンドでダウンロードします。

・以下のサイトに接続し、リモートサイトから悪質なソフトウェアをダウンロードします。

  • http://softco[削除].com

・ダウンロード後、システムトレイに偽の警告メッセージを表示します。システムが感染しているとするバルーンヒントが表示され、システムがコンピュータウイルスにひどく感染していると乗っ取ったユーザに通知するGUIが開きます。

・ダウンロードが完了すると、Antivirus Softがインストールされ、システムが感染していると乗っ取ったユーザをだまし、偽のソフトウェアを購入するよう促します。

・重要な実行ファイル(mspaint.exe、calc.exe、notepad.exeなど)が実行されないようにし、乗っ取ったユーザに感染したと思わせます。

・乗っ取ったユーザがnotepad.exeを開くと、上記の警告を表示します。

ユーザが「YES」をクリックすると、以下のWebサイトにリダイレクトして、感染を駆除するため、偽のソフトウェアを購入するよう促します。
  • http://av[削除].com/pur[削除]

・以下のレジストリ項目が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows Script
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows Script\Settings
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft

・FakeAlert-SpyPro.gen.aが実行されると、以下の場所に自身をコピーします。

  • %AppData%\fimmao\adegsftav.exe

・以下のレジストリにより、Windowsが起動されるたびにFakeAlert-SpyPro.gen.aが実行されるようにします。

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    lpuyoprx = "%AppData%\fimmao\adegsftav.exe"

・以下のレジストリ値が追加されます。

  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer: "http=127.0.0.1:5555"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride: ""
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\knkd: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\aazalirt: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\skaaanret: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\jungertab: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\zibaglertz: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\iddqdops: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\ronitfst: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\tobmygers: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\jikglond: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\tobykke: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\klopnidret: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\jiklagka: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\salrtybek: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\id: "57.4"

・以下のレジストリ項目が改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000001

・上記のレジストリ項目により、感染したマシンのインターネットアクセスを無効にします。

注:%AppData%はアプリケーション固有のデータの一般的なレジストリとして使われるファイルシステムフォルダを指す変数です。一般的なパスはC:\Documents and Settings\[ユーザ名]\Application Dataです。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • システムがひどく感染しているかのような偽の警告を表示します。
  • レジストリを改変します。
  • ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。
  • 検出されにくくし、ファイルのサイズを減らすため、ランタイムパッカーで圧縮されます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。