製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
WinCE/FakeCameraPatch.A
企業ユーザ:
個人ユーザ:
最小定義ファイル
(最初に検出を確認したバージョン)
6182
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7605)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2010/12/01
発見日(米国日付)2010/11/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/27Generic Down...
10/27RDN/PWS-Mmor...
10/27RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7605
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・WinCE/FakeCameraPatch.Aはコマンド&コントロール(C&C)サーバにアクセスし、SMSメッセージを送信しようとするマルウェアです。リモート攻撃者からコマンドを受け取ることができます。

ウイルスの特徴TOPに戻る

・WinCE/FakeCameraPatch.Aは「CameraSPlife.CAB」という名前のファイルで配布されます。カメラの修正プログラムと一緒にパッケージ化されています。

・WinCE/FakeCameraPatch.Aは以下の実行ファイルをデバイスにドロップ(作成)します。

  • \Program Files\Patch\MoveFile.txt
  • \Program Files\Patch\Customize.mle
  • \Program Files\Patch\CeSetup.vh
  • \Program Files\Patch\_Camera_Sensor.bg
  • \Program Files\Patch\_Camera_Sensor1.bg
  • \Windows\AppMgr\JAM Camera Patch\STPA000.dll
  • \Program Files\Patch\CeSetup.dll

・「STPA000.dll」は、cabパッケージがインストールされるとシステムによって呼び出されるセットアップライブラリです。「MoveFile.txt」(.exeファイルの名前を変更したプログラム)を実行します。また、分析を遅らせるため、ランタイム時に起動するプログラムの文字列を作成します。

・「MoveFile.txt」は「\Program Files\Patch\Customize.mle」、「\Program Files\Patch\CeSetup.vh」ファイルをそれぞれ「\Windows\Startup\screen.exe」、「\Windows\msgr.dll」にコピーする実行ファイルです。「screen.exe」はデバイスの起動時に自動的に動作するように設定されます。スタートアップディレクトリが「Startup」でない英語以外のデバイスでは正常に機能しません。また、「MoveFile.txt」には、レジストリを改変し、無署名のアプリケーションをインストールする際のセキュリティプロンプトを無効にするコードが組み込まれています。

・「screen.exe」には、デバイスのIMEI/IMSIを問い合わせ、コード化して攻撃者に送信するコードが組み込まれています。さらに、以下に羅列された攻撃者からのコマンドの受信待機を行います。

コマンド

説明

-1

何もしません。

1

レジストリを改変して、無署名のアプリケーションをインストールする際のセキュリティプロンプトを無効にし、「\windows\Prog1.exe」を起動しようとします。

2

レジストリを改変して、無署名のアプリケーションをインストールする際のセキュリティプロンプトを無効にし、「\windows\Prog2.exe」を起動しようとします。

11バイトの文字列

文字列が電話番号であると見なし、SMSメッセージを送信しようとします。
11バイトを超える文字列 文字列がURLであると見なし、実行ファイルをダウンロードしようとします。

・テスト中、C&Cサーバはコマンド「-1」にしか応答しませんでした。

・また、WinCE/FakeCameraPatch.Aは、tmail.exeプロセスを強制終了し、偽のメッセージングクライアントを登録して、デバイスのメッセージング、メールを無効にしようとします。

・「\windows\Prog1.exe」、「\windows\Prog2.exe」ファイルには、接続を行い、回線を開き、回線に関する情報を入手するためのコードが組み込まれています。これらは高額料金がかかる番号のダイヤルに使用される可能性があります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • C&Cサーバにアクセスしようとします。
  • SMSメッセージを送信しようとします。
  • レジストリを改変し、デバイスのセキュリティを下げます。

感染方法TOPへ戻る

・ユーザが故意に携帯電話にインストールしない限り、WinCE/FakeCameraPatch.Aに感染することはありません。いつも言われていることですが、ユーザは絶対に見覚えのないソフトウェア、信頼できないソフトウェアをインストールしてはなりません。クラックされたアプリケーションなど、違法なソフトウェアはマルウェアの感染源であるため、絶対にインストールしないでください。

駆除方法TOPへ戻る