・実行時、「FakeAlert-WwSec.e」は以下の場所に自身をコピーします。
・また、以下のファイルをドロップ(作成)します。
- %AppData%\GDIPFONTCACHEV1.DAT
・以下のレジストリキーがシステムに追加されます。
- HKEY_USERS\S-(不定)\Software\Classes\.exe
- HKEY_USERS\S-(不定)\Software\Classes\secfile
- HKEY_USERS\S-1-(不定)_Classes\.exe
- HKEY_USERS\S-1-(不定)_Classes\secfile
・以下のレジストリ値がシステムに追加されます。
・以下のレジストリ項目を設定してシステムファイアウォールを無効にする亜種もあります。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\]
EnableFirewall="0x00000000"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
EnableFirewall= "0x00000000"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\]
EnableFirewall="0x00000000"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
EnableFirewall="0x00000000"
・また、以下のレジストリ項目を設定して、プログラムがブロックされたときの通知を無効にする亜種もあります。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\]
DisableNotifications="0x00000001"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
DisableNotifications="0x00000001"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\]
DisableNotifications="0x00000001"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
DisableNotifications="0x00000001"
- [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\]
Identity="0x9F797A55"
・以下のシステムのレジストリ値が改変されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\]
Command=""%AppData%\ave.exe" /START "%ProgramFiles%\Mozilla Firefox\firefox.exe""
- [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\]
command=""%AppData%\ave.exe" /START "%ProgramFiles%\Internet Explorer\iexplore.exe""
・上記のレジストリ項目により、ユーザがIEまたはFirefoxのインスタンスを開くと、FakeAlert-WwSec.eが自動的に実行されるようにします。
- [HKEY_LOCAL_MACHINE\SYSTEM\SOFTWARE\Microsoft\Security Center\]
AntiVirusDisableNotify="0x00000001"
- [HKEY_LOCAL_MACHINE\SYSTEM\SOFTWARE\Microsoft\Security Center\]
FirewallDisableNotify="0x00000001"
- [HKEY_LOCAL_MACHINE\SYSTEM\SOFTWARE\Microsoft\Security Center\]
UpdatesDisableNotify= "0x00000001"
- [HKEY_LOCAL_MACHINE\SYSTEM\SOFTWARE\Microsoft\Security Center\]
AntiVirusOverride="0x00000001"
- [HKEY_LOCAL_MACHINE\SYSTEM\SOFTWARE\Microsoft\Security Center\]
FirewallOverride="0x00000001"
・上記のレジストリ項目により、乗っ取ったユーザのシステムのファイアウォール、ウイルス対策ソフトウェア、Windowsの自動更新を無効にします。
・「FakeAlert-WwSec.e」はセキュリティセンターをロードし、ファイアウォールまたはウイルス対策がインストールされていないことをユーザに通知します。これはユーザをだまして偽のスキャンソフトウェアを購入させようとする偽のセキュリティセンターです。
・このセキュリティセンターがロードされると、FakeAlertはユーザのハードディスクドライブの偽のスキャンを開始し、マシンが複数のマルウェアファイルに感染しているとユーザに通知します。
・偽のスキャンが完了すると、以下の画面が表示され、マシンが感染していると偽り、ユーザをだましてソフトウェアを購入させようとします。ユーザをだまして「YES」をクリックさせ、Fake Alertソフトウェアを購入させるため、「NO」ボタンの位置が入れ替えられています。
・ユーザがFake Alertを閉じると、マシンが攻撃を受けており、保護が必要だと偽るポップアップメッセージをタスクバーに表示し続けます。
・以下のドメインにアクセスする可能性があります。
- Totalsecur[削除]ect.com、リモートポート80を使用
- yoursecu[削除]lus.com、リモートポート80を使用
[%AppData% - C:\Documents and Settings\[ユーザ名]\Application Data, %ProgramFiles% - C:\Program File ]
