ウイルス情報

ウイルス名 危険度

WinCE/FakeCameraPatch.A

企業ユーザ: 低
個人ユーザ: 低
最小定義ファイル
(最初に検出を確認したバージョン)
6182
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2010/12/01
発見日(米国日付) 2010/11/29
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・WinCE/FakeCameraPatch.Aはコマンド&コントロール(C&C)サーバにアクセスし、SMSメッセージを送信しようとするマルウェアです。リモート攻撃者からコマンドを受け取ることができます。

TOPへ戻る

ウイルスの特徴

・WinCE/FakeCameraPatch.Aは「CameraSPlife.CAB」という名前のファイルで配布されます。カメラの修正プログラムと一緒にパッケージ化されています。

・WinCE/FakeCameraPatch.Aは以下の実行ファイルをデバイスにドロップ(作成)します。

  • \Program Files\Patch\MoveFile.txt
  • \Program Files\Patch\Customize.mle
  • \Program Files\Patch\CeSetup.vh
  • \Program Files\Patch\_Camera_Sensor.bg
  • \Program Files\Patch\_Camera_Sensor1.bg
  • \Windows\AppMgr\JAM Camera Patch\STPA000.dll
  • \Program Files\Patch\CeSetup.dll

・「STPA000.dll」は、cabパッケージがインストールされるとシステムによって呼び出されるセットアップライブラリです。「MoveFile.txt」(.exeファイルの名前を変更したプログラム)を実行します。また、分析を遅らせるため、ランタイム時に起動するプログラムの文字列を作成します。

・「MoveFile.txt」は「\Program Files\Patch\Customize.mle」、「\Program Files\Patch\CeSetup.vh」ファイルをそれぞれ「\Windows\Startup\screen.exe」、「\Windows\msgr.dll」にコピーする実行ファイルです。「screen.exe」はデバイスの起動時に自動的に動作するように設定されます。スタートアップディレクトリが「Startup」でない英語以外のデバイスでは正常に機能しません。また、「MoveFile.txt」には、レジストリを改変し、無署名のアプリケーションをインストールする際のセキュリティプロンプトを無効にするコードが組み込まれています。

・「screen.exe」には、デバイスのIMEI/IMSIを問い合わせ、コード化して攻撃者に送信するコードが組み込まれています。さらに、以下に羅列された攻撃者からのコマンドの受信待機を行います。

コマンド

説明

-1

何もしません。

1

レジストリを改変して、無署名のアプリケーションをインストールする際のセキュリティプロンプトを無効にし、「\windows\Prog1.exe」を起動しようとします。

2

レジストリを改変して、無署名のアプリケーションをインストールする際のセキュリティプロンプトを無効にし、「\windows\Prog2.exe」を起動しようとします。

11バイトの文字列

文字列が電話番号であると見なし、SMSメッセージを送信しようとします。
11バイトを超える文字列 文字列がURLであると見なし、実行ファイルをダウンロードしようとします。

・テスト中、C&Cサーバはコマンド「-1」にしか応答しませんでした。

・また、WinCE/FakeCameraPatch.Aは、tmail.exeプロセスを強制終了し、偽のメッセージングクライアントを登録して、デバイスのメッセージング、メールを無効にしようとします。

・「\windows\Prog1.exe」、「\windows\Prog2.exe」ファイルには、接続を行い、回線を開き、回線に関する情報を入手するためのコードが組み込まれています。これらは高額料金がかかる番号のダイヤルに使用される可能性があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • C&Cサーバにアクセスしようとします。
  • SMSメッセージを送信しようとします。
  • レジストリを改変し、デバイスのセキュリティを下げます。

TOPへ戻る

感染方法

・ユーザが故意に携帯電話にインストールしない限り、WinCE/FakeCameraPatch.Aに感染することはありません。いつも言われていることですが、ユーザは絶対に見覚えのないソフトウェア、信頼できないソフトウェアをインストールしてはなりません。クラックされたアプリケーションなど、違法なソフトウェアはマルウェアの感染源であるため、絶対にインストールしないでください。

TOPへ戻る

駆除方法

TOPへ戻る