--2011年10月27日更新---
・実行時、FakeAlert-SysDef.bはリモートポート80を介して[削除]i-722866.comに接続します。
・以下のファイルがシステムに追加されます。
- %AppData%\mtxaICndWfJLjLo.exe
・以下のキーがシステムに追加されます。
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System
・以下の値がシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
mtxaICndWfJLjLo.exe = "%AppData%\mtxaICndWfJLjLo.exe"
・上記のレジストリにより、FakeAlert-SysDef.bが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypess = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\SaveZoneInformation = 0x00000001
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 0x00000001
・上記のレジストリにより、乗っ取ったシステムのタスクマネージャを無効にします。
・また、以下のサイトに接続し、悪質なファイルをダウンロードします。
- [削除]irange.com
- [削除]rture.com
- [削除]footlub.com
- 89.46.[削除]
- [削除]x-191994.com
- [削除]ki-67831.com
[注: C:\Documents and Settings\[ユーザ]\Application Dataは%AppData%]
--2011年7月20日更新---
・「FakeAlert-SysDef.b」は偽のPCのパフォーマンス関連の問題、偽のエラーメッセージを表示し、積極的な広告により、ユーザに購入を促すトロイの木馬です。
・実行時、以下の場所に自身をコピーします。
・また、以下のサイトに接続し、他の悪質なファイルをダウンロードします。
- hxxp://click[削除].org
- hxxp://find[削除].org
- hxxp://click[削除].org
・以下のレジストリキーが追加されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
・以下の値がシステムに追加されます。
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"= 0x00000001
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetActiveDesktop"= 0x00000001
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"= 0x00000001
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"dgMwVfDydK" = %Temp%\tmpBFAD.tmp
・以下のレジストリが改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden = 0x00000000
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0x00000000
注 _ [%Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp]
--2011年7月19日更新---
・「FakeAlert-SysDef.b」は偽のPCのパフォーマンス関連の問題、偽のエラーメッセージを表示し、ユーザに購入を促す広告を積極的に表示するトロイの木馬です。
・実行時、以下の場所に自身をコピーします。
- %AllUsersProfile%\Application Data\lKWDqUysAx.exe
- %AllUsersProfile%s\Application Data\lKWDqUysAx
・また、以下のショートカットリンクを作成します。
- %UserProfile%\Desktop\Windows XP Repair.lnk
- %UserProfile%\Start Menu\Programs\Windows XP Repair\Windows XP Repair.lnk
- %UserProfile%\Start Menu\Programs\Windows XP Repair\Uninstall Windows XP Repair.lnk
・また、以下のサイトと通信します。
- search[削除].org
- clickwinston-[削除].org
- searchbe[削除].org
- search[削除].org
- click[削除].org
・実行時、以下の偽の画像を表示します。
・以下のレジストリ値が追加されます。
- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Use FormSuggest = "Yes"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
WarnOnZoneCrossing = 0x00000000
WarnonBadCertRecving = 0x00000000
CertificateRevocation = 0x00000000
・以下のレジストリ値が改変されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1601 =
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing
State =
・以下のmutexを作成して、一度に1つのFakeAlert-SysDef.bのインスタンスしか実行されないようにします。
- 625773d0-1eb5-4879-8322-8bdc33d9d4fe
・また、以下のフォルダがシステムに追加されます。
- %UserProfile%\Start Menu\Programs\Windows XP Repair
・実行後、自身をシステムから削除します。
注_ [%UserProfile% - C:\Documents and Settings\[ユーザ名]
%AllUsersProfile% - C:\Documents and Settings\All Users]
--2011年6月23日更新---
・実行時、以下の場所に自身をコピーします。
- %AllUsersProfile%\Application Data\[ランダムな名前].exe
・また、「search[削除].org」に接続し、以下の悪質なファイルをダウンロードします。
- %AllUsersProfile%\Application Data\18013988.exe [PWS-Zbot.gen.giという名前で検出]
・以下の偽のメッセージを表示します。動作は「PWS-Zbot.gen.gi」と同じです。
画像1
画像2
・以下のレジストリキーが追加されます。
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System
・以下のレジストリ値が追加されます。
- HKEY_USERS\S-1-[不定]\Software\75fa38b7-8b94-4995-ad32-52e938867954 = ""
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoDesktop = 0x00000001
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\
NoChangingWallPaper = 0x00000001
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\
LowRiskFileTypes = "/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\
SaveZoneInformation= 0x00000001
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr= 0x00000001
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
lKMwrmNWsXvp = "%AllUsersProfile%\Application Data\[ランダムな名前].exe"
・上記のレジストリ項目により、Windowsが起動するたびにFakeAlert-SysDef.bが実行されるようにします。
・以下のレジストリが改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden = 0x00000000
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0x00000000
・実行後、ソースファイルは自身をシステムから削除します。
[%AllUsersProfile% - C:\Documents and Settings\All Users\Application Data]
ファイル情報
- MD5 - EB539D4A841DF0F237B695F2ADE6FE2E
- SHA - 34DA4E4CE22D7516A661A1EDAAF69E4FFF3A6E9C
・FakeAlert-SysDef.bは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。
・実行時、以下の画像を表示します。
・次に、大げさなスキャンを実行し、偽の検出アラートメッセージと警告を生成します。偽のメッセージの意図は、ユーザに広告しているスパイウェア対策製品を購入させることです。
・実行時、FakeAlert-SysDef.bは以下の場所にコピーし、リモートポート80を介してsearc[削除].orgに接続します。
- %UserProfile%\dgMwVfDydK.exe
- %UserProfile%\Application Data\24370980.exe[ランダムな名前]
・また、以下のファイルをドロップ(作成)します。
- %UserProfile%\Application Data\24370980[ランダムな名前]
・以下のキーがシステムに追加されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
・以下の値がシステムに追加されます。
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"= 0x00000001
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetActiveDesktop"= 0x00000001
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"= 0x00000001
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"dgMwVfDydK" = %UserProfile%\Application Data\dgMwVfDydK.exe
・上記のレジストリ項目により、再起動のたびにFakeAlert-SysDef.bが実行されるようにします。
・以下の値が改変されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"= 0x00000001
・また、以下のサイトに接続し、悪質なファイルをダウンロードします。
[注: C:\Documents and Settings\All Usersは%UserProfile%]
