製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-SysDef.b
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6369
対応定義ファイル
(現在必要とされるバージョン)
6520 (現在7508)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名NOD32 - a variant of Win32/Kryptik.UIY trojan Ikarus _ Trojan.Win32.FakeSysdef Quick Heal - Trojan.Fraud.fso Microsoft - Trojan:Win32/FakeSysdef Kaspersky - Trojan.Win32.Jorik.Fraud.aeq Microsoft - Trojan:Win32/FakeSysdef NOD32 - a variant of Win32/Kryptik.QJL Symantec - Trojan.FakeAVs Kaspersky - Trojan.Win32.FakeAV.dpxe Microsoft - Trojan:Win32/FakeSysdef NOD32 - a variant of Win32/Kryptik.PFD Symantec - Trojan.Gen F-Secure - Gen:Variant.Kazy.26560 Kaspersky - Trojan-Downloader.Win32.Dapato.ha NOD32 - a variant of Win32/Kryptik.PAJ Symantec - Trojan.FakeAV!gen60 Kaspersky - Trojan-Downloader.Win32.Dapato.fs Ikarus - Trojan-Downloader.Win32.Dapato Symantec - Trojan.FakeAV Microsoft - Trojan:Win32/FakeSysdef
情報掲載日2011/11/09
発見日(米国日付)2011/06/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・FakeAlert-SysDef.bはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

--2011年10月27日更新---

・実行時、FakeAlert-SysDef.bはリモートポート80を介して[削除]i-722866.comに接続します。

・以下のファイルがシステムに追加されます。

  • %AppData%\mtxaICndWfJLjLo.exe

・以下のキーがシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System

・以下の値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    mtxaICndWfJLjLo.exe = "%AppData%\mtxaICndWfJLjLo.exe"

・上記のレジストリにより、FakeAlert-SysDef.bが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypess = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\SaveZoneInformation = 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 0x00000001

・上記のレジストリにより、乗っ取ったシステムのタスクマネージャを無効にします。

・また、以下のサイトに接続し、悪質なファイルをダウンロードします。

  • [削除]irange.com
  • [削除]rture.com
  • [削除]footlub.com
  • 89.46.[削除]
  • [削除]x-191994.com
  • [削除]ki-67831.com

[注: C:\Documents and Settings\[ユーザ]\Application Dataは%AppData%]


--2011年7月20日更新---

・「FakeAlert-SysDef.b」は偽のPCのパフォーマンス関連の問題、偽のエラーメッセージを表示し、積極的な広告により、ユーザに購入を促すトロイの木馬です。

・実行時、以下の場所に自身をコピーします。

  • %Temp%\tmpBFAD.tmp

・また、以下のサイトに接続し、他の悪質なファイルをダウンロードします。

  • hxxp://click[削除].org
  • hxxp://find[削除].org
  • hxxp://click[削除].org

・以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

・以下の値がシステムに追加されます。

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
    "NoChangingWallpaper"= 0x00000001
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSetActiveDesktop"= 0x00000001
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"= 0x00000001
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "dgMwVfDydK" = %Temp%\tmpBFAD.tmp

・以下のレジストリが改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    Hidden = 0x00000000
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    ShowSuperHidden = 0x00000000
注 _ [%Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp]

--2011年7月19日更新---

・「FakeAlert-SysDef.b」は偽のPCのパフォーマンス関連の問題、偽のエラーメッセージを表示し、ユーザに購入を促す広告を積極的に表示するトロイの木馬です。

・実行時、以下の場所に自身をコピーします。

  • %AllUsersProfile%\Application Data\lKWDqUysAx.exe
  • %AllUsersProfile%s\Application Data\lKWDqUysAx

・また、以下のショートカットリンクを作成します。

  • %UserProfile%\Desktop\Windows XP Repair.lnk
  • %UserProfile%\Start Menu\Programs\Windows XP Repair\Windows XP Repair.lnk
  • %UserProfile%\Start Menu\Programs\Windows XP Repair\Uninstall Windows XP Repair.lnk

・また、以下のサイトと通信します。

  • search[削除].org
  • clickwinston-[削除].org
  • searchbe[削除].org
  • search[削除].org
  • click[削除].org

・実行時、以下の偽の画像を表示します。

・以下のレジストリ値が追加されます。

  • [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Use FormSuggest = "Yes"
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    WarnOnZoneCrossing = 0x00000000
    WarnonBadCertRecving = 0x00000000
    CertificateRevocation = 0x00000000

・以下のレジストリ値が改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    1601 =
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing
    State =

・以下のmutexを作成して、一度に1つのFakeAlert-SysDef.bのインスタンスしか実行されないようにします。

  • 625773d0-1eb5-4879-8322-8bdc33d9d4fe

・また、以下のフォルダがシステムに追加されます。

  • %UserProfile%\Start Menu\Programs\Windows XP Repair

・実行後、自身をシステムから削除します。

注_ [%UserProfile% - C:\Documents and Settings\[ユーザ名]

%AllUsersProfile% - C:\Documents and Settings\All Users]


--2011年6月23日更新---

・実行時、以下の場所に自身をコピーします。

  • %AllUsersProfile%\Application Data\[ランダムな名前].exe

・また、「search[削除].org」に接続し、以下の悪質なファイルをダウンロードします。

  • %AllUsersProfile%\Application Data\18013988.exe [PWS-Zbot.gen.giという名前で検出]

・以下の偽のメッセージを表示します。動作は「PWS-Zbot.gen.gi」と同じです。

・以下のレジストリキーが追加されます。

  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System

・以下のレジストリ値が追加されます。

  • HKEY_USERS\S-1-[不定]\Software\75fa38b7-8b94-4995-ad32-52e938867954 = ""
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
    NoDesktop = 0x00000001
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\
    NoChangingWallPaper = 0x00000001
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\
    LowRiskFileTypes = "/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\
    SaveZoneInformation= 0x00000001
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System\
    DisableTaskMgr= 0x00000001
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    lKMwrmNWsXvp = "%AllUsersProfile%\Application Data\[ランダムな名前].exe"

・上記のレジストリ項目により、Windowsが起動するたびにFakeAlert-SysDef.bが実行されるようにします。

・以下のレジストリが改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    Hidden = 0x00000000
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    ShowSuperHidden = 0x00000000

・実行後、ソースファイルは自身をシステムから削除します。

[%AllUsersProfile% - C:\Documents and Settings\All Users\Application Data]


ファイル情報

  • MD5 - EB539D4A841DF0F237B695F2ADE6FE2E
  • SHA - 34DA4E4CE22D7516A661A1EDAAF69E4FFF3A6E9C

・FakeAlert-SysDef.bは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。

・実行時、以下の画像を表示します。

・次に、大げさなスキャンを実行し、偽の検出アラートメッセージと警告を生成します。偽のメッセージの意図は、ユーザに広告しているスパイウェア対策製品を購入させることです。

・実行時、FakeAlert-SysDef.bは以下の場所にコピーし、リモートポート80を介してsearc[削除].orgに接続します。

  • %UserProfile%\dgMwVfDydK.exe
  • %UserProfile%\Application Data\24370980.exe[ランダムな名前]

・また、以下のファイルをドロップ(作成)します。

  • %UserProfile%\Application Data\24370980[ランダムな名前]

・以下のキーがシステムに追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

・以下の値がシステムに追加されます。

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
    "NoChangingWallpaper"= 0x00000001
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSetActiveDesktop"= 0x00000001
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"= 0x00000001
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "dgMwVfDydK" = %UserProfile%\Application Data\dgMwVfDydK.exe

・上記のレジストリ項目により、再起動のたびにFakeAlert-SysDef.bが実行されるようにします。

・以下の値が改変されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
    "DisableTaskMgr"= 0x00000001

・また、以下のサイトに接続し、悪質なファイルをダウンロードします。

  • clic[削除].org

[注: C:\Documents and Settings\All Usersは%UserProfile%]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • FakeAlert-SysDef.bのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。