製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-SysDef.al
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6765
対応定義ファイル
(現在必要とされるバージョン)
6808 (現在7544)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名AhnLab-V3 - Trojan/Win32.FakeSysDef Avast - Win32.FakeSysdef-OI[Trj] G-Data - Win32:FakeSysdef-OI
情報掲載日2012/07/12
発見日(米国日付)2012/07/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・FakeAlert-SysDef.alはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

FakeAlert-SysDef.alは、偽のコンピュータの最適化を表示し、実際には存在しない、コンピュータの問題を修復する製品をユーザに購入させようとするトロイの木馬です。

実行時、以下のウィンドウを表示します。

・ユーザがBuy license nowオプションをクリックすると、https://secure.file[削除]e.com/order/online-payment/buy.aspxにユーザをリダイレクトし、ユーザをだまして、クレジットカードなどの個人情報を入力させます。

実行時、ポート80を介して以下のURLに接続しようとします。

  • m.we[削除]nds.com
  • Dav[削除]lnter.com

以下のファイルを以下の場所にドロップ(作成)します。

  • %AllUsersProfile%\Application Data\-^JOl%DaYUmmj
  • %AllUsersProfile%\Application Data\-^JOl%DaYUmmjr
  • %AllUsersProfile%\Application Data\^JOl%DaYUmmj
  • %AllUsersProfile%\Application Data\^JOl%DaYUmmj.exe

FakeAlert-SysDef.alのファイルを起動する以下のショートカットファイルをドロップします。

  • %AppData%\Microsoft\Internet Explorer\Quick Launch\File_Recovery.lnk
  • %UserProfile%\Desktop\File_Recovery.lnk
  • %UserProfile%\Start Menu\Programs\File Recovery\File Recovery.lnk
  • %UserProfile%\Start Menu\Programs\File Recovery\Uninstall File Recovery.lnk

以下のレジストリ項目がシステムに追加されます。

  • HKEY_USERS\S-1-5[[不定] ]
    \Software\Microsoft\Internet Explorer\Main\Use FormSuggest: "Yes"
  • HKEY_USERS\S-1-5-[[不定] ]
    \Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnonBadCertRecving:
    0x00000000
  • HKEY_USERS\S-1-5-[[不定] ]
    \Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation:
    0x00000000

上記のレジストリ項目により、ユーザが未検証のサイトにアクセスしようとしても、無効なデジタル署名の警告メッセージは表示されません。

  • HKEY_USERS\S-1-5-[不定]
    \Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypes:
    ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;
    .m3u;.wav;.scr;"
  • HKEY_USERS\S-1-5-[不定]
    \Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\SaveZoneInformation:
    0x00000001
  • HKEY_USERS\S-1-5-[不定]
    \Software\Microsoft\Windows\CurrentVersion\Run\^JOl%DaYUmmj: "%AllUsersProfile%\APPLIC~1\^JOl%DaYUmmj.exe"

上記のレジストリにより、FakeAlert-SysDef.alが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

以下のレジストリキーがシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]
    \Software\Microsoft\Windows\CurrentVersion\Policies\Associations
  • HKEY_USERS\S-1-5-[不定]
    \Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・FakeAlert-SysDef.alのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。