ウイルス情報

ウイルス名 危険度

fakealert-personalav

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5606
対応定義ファイル
(現在必要とされるバージョン)
5761 (現在7659)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2009/05/07
発見日(米国日付) 2009/05/04
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・FakeAlert-PersonalAVは偽の警告を表示して、ユーザにウイルス対策製品を購入させようとするトロイの木馬です。

TOPへ戻る

ウイルスの特徴

・実行時、以下のフォルダを作成します。

C:\Documents and Settings\All Users\Start Menu\PAV
C:\Program Files\Common Files\Uninstall
C:\Program Files\PAV

・以下のファイルをドロップ(作成)します。

%SYSTEM32%\winexplorer.dll

・さらに、以下に自身をコピーします。

C:\Program Files\PAV\pav.exe

・以下のショートカットを作成します。

%DESKTOP%\Personal Antivirus.lnk

・以下のレジストリキーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E59498D-7E44-4452-9044-0973B080B9E8}\InprocServer32\: "%SYSTEM32%\winexplorer.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PAV: "C:\Program Files\PAV\pav.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\cczcqfvj: "[削除]"
  • KEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvqiet: "[削除]"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvvpggkxpso: [削除]
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvymj: "By:kHYjZ@cBKD"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\fgxdapk: "=gFlEnjor!!"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\cnefijtol:
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\vyycwhvrjt: ";r>LEaVkEdfmDP>]A:V\=c^fb!!"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\vyycvshbnpzo: "?yBM=db:CnR;@a^;Ia>l:]:PU!!"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\slycidaeybk: "DE^L;;JKC]Bl>gF;?CnjG^rS:!!"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvsilw: "Ne;@M"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\pgxbbdje: "FNjJ^!!"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\vyycuupe: "H?b_o!!"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\jqmxlmav: "H=;>JOW?OSs@WoW?>Z?@Y"
  • HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\slliqdtj: "[削除]

・以下のウィンドウが表示されます。

・FakeAlert-PersonalAVは乗っ取ったマシンをスキャンし、偽の警告を表示して、ユーザに製品を購入させようとします。

・以下のリモートサーバに接続しようとします。

  • securedliveuploads.com
  • protectionupdatecenter.com

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリキーが存在します。

・予期しないネットワークトラフィックが発生します。

・上記のウィンドウが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

TOPへ戻る