ウイルス情報

ウイルス名 危険度

FakeAlert-WPS

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5714
対応定義ファイル
(現在必要とされるバージョン)
5836 (現在7634)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2010/01/05
発見日(米国日付) 2009/08/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・FakeAlert-WPSは、偽のアラートを表示して、ユーザにマルウェアの問題を「修復する」製品を購入させようとするトロイの木馬です。悪質な動作を隠蔽し、ターゲットに無害なスクリーンセーバープログラムと思わせてインストールさせる可能性があります。

TOPへ戻る

ウイルスの特徴

・実行時、以下のフォルダを作成し、以下のファイルをドロップ(作成)します。

%UserProfile%\Application Data\bdc63e5\PCbdc6.exe.

注:
%UserProfile%は可変の場所で、ユーザプロフィールのフォルダを指しています。

・ホストファイルを改変します。

・以下のレジストリ項目を改変します。

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
  • HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • PC Live Guard = %userprofile%\Application Data\bdc63e5\PCbdc6.exe" /s /d

・これにより、再起動時に起動するようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntispywarXP2009.exe
"Debugger" = svchost.exe

・この改変により、特定のシステムツールが動作しないようにします。

・以下のサイトに接続する可能性があります。

update2.pclive[削除].com
mysecurity[削除].com

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、本性を隠し、受信者が欲しがるファイルや興味をそそられるファイルとして到着します。一般的には、ニュースグループへの投稿、IRC、ピアツーピアネットワーク、スパムメールなどを通じて受け取られます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る