・FakeAlert-SpyPro.gen.aは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。
・大げさなスキャンを実行し、偽の検出アラートメッセージと警告を生成します。偽のメッセージの意図は、ユーザに宣伝しているスパイウェア対策製品を購入させることです。
・実行時、リモートポート80を介して以下のサイトに接続します。
- Lixumo[削除]yfo.com
- Rywoxe[削除]omecig.com
・ユーザがこの偽のウイルス対策ソフトウェアを登録しようとすると、IExplore.exeがリモートポート80を介して以下のサイトにリダイレクトされます。
・以下のファイルをドロップ(作成)します。
- %Userprofile%\Local Settings\Application Data\3an1wlj6e7e2m2272rk80223m7nce11usw6a4
- %Userprofile%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
- %Temp%\3an1wlj6e7e2m2272rk80223m7nce11usw6a4
- %Userprofile%\Templates\3an1wlj6e7e2m2272rk80223m7nce11usw6a4
- %Systemdrive%\Documents and Settings\All Users\Application Data\3an1wlj6e7e2m2272rk80223m7nce11usw6a4
・以下のレジストリキーがシステムに追加されます。
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\GDIPlus
- HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe
- HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile
- HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe
- HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile
・以下のレジストリ値がシステムに追加されます。
- HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"
- HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"
- HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"
- HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "%1" %*"
・以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe""
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\mpo.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe""
・上記のレジストリ項目により、ユーザがfirefox、IExplorer.exeアプリケーションなどのブラウザを開こうとすると、すぐにFakeAlert-SpyPro.gen.aが実行されるようにします。
[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
・実行時、FakeAlert-SpyPro.gen.aは、ユーザが何もしなくても、リモートサイトからAntivirus Softをバックグラウンドでダウンロードします。
・以下のサイトに接続し、リモートサイトから悪質なソフトウェアをダウンロードします。
・ダウンロード後、システムトレイに偽の警告メッセージを表示します。システムが感染しているとするバルーンヒントが表示され、システムがコンピュータウイルスにひどく感染していると乗っ取ったユーザに通知するGUIが開きます。
・ダウンロードが完了すると、Antivirus Softがインストールされ、システムが感染していると乗っ取ったユーザをだまし、偽のソフトウェアを購入するよう促します。
・重要な実行ファイル(mspaint.exe、calc.exe、notepad.exeなど)が実行されないようにし、乗っ取ったユーザに感染したと思わせます。
・乗っ取ったユーザがnotepad.exeを開くと、上記の警告を表示します。
ユーザが「YES」をクリックすると、以下のWebサイトにリダイレクトして、感染を駆除するため、偽のソフトウェアを購入するよう促します。
- http://av[削除].com/pur[削除]
・以下のレジストリ項目が追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
- HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows Script
- HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows Script\Settings
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft
・FakeAlert-SpyPro.gen.aが実行されると、以下の場所に自身をコピーします。
- %AppData%\fimmao\adegsftav.exe
・以下のレジストリにより、Windowsが起動されるたびにFakeAlert-SpyPro.gen.aが実行されるようにします。
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
lpuyoprx = "%AppData%\fimmao\adegsftav.exe"
・以下のレジストリ値が追加されます。
- HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer: "http=127.0.0.1:5555"
- HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride: ""
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\knkd: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\aazalirt: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\skaaanret: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\jungertab: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\zibaglertz: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\iddqdops: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\ronitfst: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\tobmygers: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\jikglond: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\tobykke: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\klopnidret: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\jiklagka: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\salrtybek: 0x00000001
- HKEY_USERS\S-1-5-21-[不定]\Software\avsoft\id: "57.4"
・以下のレジストリ項目が改変されます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000000
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000001
・上記のレジストリ項目により、感染したマシンのインターネットアクセスを無効にします。
注:%AppData%はアプリケーション固有のデータの一般的なレジストリとして使われるファイルシステムフォルダを指す変数です。一般的なパスはC:\Documents and Settings\[ユーザ名]\Application Dataです。
