製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
FakeAlert-AntiVirusPro
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		5259
対応定義ファイル
(現在必要とされるバージョン)		5981 (現在7084)
対応エンジン5.3.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Mal/FakeAV-BP [Sophos]Trojan.Fakealert.8559 [Dr.Web]Trojan:Win32/InternetAntivirus [Microsoft]
情報掲載日2010/05/18
発見日(米国日付)2008/03/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・FakeAlert-AntiVirusProは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。

ウイルスの特徴TOPに戻る

-- 2010年5月17日更新 --

・最近、以下の特徴を持つFakeAlert-AntiVirusProの新しい亜種が発見されました。

・実行時、以下のファイルを作成します。

  • c:\Documents and Settings\Administrator\Local Settings\Temp\02c9c3c35bdx5.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\17dkf.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\1iowieoo.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\2010yo.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\472a10e2ebxd9.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\56493.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\8gmsed-bd.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\a75wef8e0e7.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\ae0965a7157cd.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\al3erfa3.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\aler3fa.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\alerfa.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\alerfa2.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\alerfa322.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\aqfitrlxi2.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\backd-efq.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\brdss.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\bzqa43d.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\cffd4.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\cocksucker.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\cosock.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\cunifuc.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\dc_3.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\dd10x10.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\ddhelp.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\ddoll3342.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\destroyer.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\dffuck.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\dkfjd93.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\ds7hw.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\dwl_bqz.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\eelnvd13.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\eephilpe.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\exppdf_w.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\fadz43.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\fe.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\format.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\g_dx234.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\gedx_ae09.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\gpupz2a.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\gpws_y-bbg.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\hardwh.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\hhbboll_2.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\hiphop.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\hjkgfddd.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\hodeme.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\htfad4.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\hvipws9.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\jdhellwo3.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\jkfuckjs.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\jofcdks.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\kgn.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\kilslmd.exex
  • c:\Documents and Settings\Administrator\Local Settings\Temp\kjdh_gf_jjdhgd.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\kjh102k3.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\kn.a.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\kock.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\ljts-23.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\lkhgg_ea.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\lols.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\lorsk.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\ploper.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\poertd.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\ppddfcfux.exxe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\pswwg3c.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\puzpup.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\qwedvor.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\qwklrvjhqlkj.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\r0life.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\rator.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\rsrtd12.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\rtfme.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\safe.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\snowif.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\sycre.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\test.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\timem.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\w32-reno-c.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\warsddd_w.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wefgetn_00.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wergfq.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wined.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\winlogoff.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wqefqw7e.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wrcud12.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wrfwe_di.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wwautrsd.exe
  • c:\Documents and Settings\Administrator\Local Settings\Temp\wwwsssgen.exe

・以下のレジストリ項目が作成されます。

  • HKEY_CURRENT_USER\Software\Desktop Security 2010

・ターゲットが偽のセキュリティ製品を登録しようとすると、以下のURLに接続します。¥

  • desktop<削除>center.com

-- 2010年5月4日更新 --

・最近、以下の特徴を持つFakeAlert-AntiVirusProの新しい亜種が発見されました。

・実行時、以下の名前で自身のコピーをドロップ(作成)します。

  • %USERPROFILE%\Local Settings\Application data\av.exe
    (%USERPROFILE%はユーザプロファイルフォルダで、通常はC:\Documents and Settings\ユーザ名)

・また、ユーザから盗み出した暗号化されたデータと一緒に、「LNek」という名前のファイルを同じフォルダにドロップします。

・また、Windowsファイアウォール、自動アップデート、Windowsからのセキュリティ通知を無効にします。

・2回以上実行されないようにするため、システムmutexを作成します。

  • cu43yxio32zdl11

・以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\0 = "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Identity = 0x4E7F89D2
  • HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command\ = ""%USERPROFILE%\Local Settings\Application data\av.exe" /START "%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command\IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command\ = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command\IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\.exe\shell\start\command\ = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\.exe\shell\start\command\IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon\ = "%1"
  • HKEY_CURRENT_USER\Software\Classes\.exe\ = "secfile"
  • HKEY_CURRENT_USER\Software\Classes\.exe\Content Type = "application/x-msdownload"
  • HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command\ = ""USERPROFILE%\Local Settings\Application data\av.exe" /START "%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command\IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\secfile\shell\runas\command\ = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\secfile\shell\runas\command\IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\secfile\shell\start\command\ = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\secfile\shell\start\command\IsolatedCommand = ""%1" %*"
  • HKEY_CURRENT_USER\Software\Classes\secfile\DefaultIcon\ = "%1"
  • HKEY_CURRENT_USER\Software\Classes\secfile\ = "Application"
  • HKEY_CURRENT_USER\Software\Classes\secfile\Content Type = "application/x-msdownload"

・また、以下のレジストリキーを改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\ = ""%USERPROFILE%\Local Settings\Application data\av.exe" /START "C:\Arquivos de programas\Internet Explorer\iexplore.exe""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride = 0x00000001

・しばらくすると、システムが多数のウイルスに感染しているとする偽のメッセージを表示し始めます。メインウィンドウには以下のような名前が付けられています。

  • XP Antivirus Pro
  • XP Internet Security 2010
  • XP Guardian
  • Antivirus XP 2010

・また、ユーザのコンピュータが危険にさらされているとする偽のポップアップメッセージを表示します。

・他の偽のウイルス対策ソフトウェアと同様、ウイルスを駆除するため、製品の登録を求めます。この登録の目的はユーザのクレジットカードの情報を盗み出すことであり、ユーザのシステムには、偽のウイルス対策ソフトウェア以外のウイルスは存在しません。

・また、以下のドメインに接続しようとします。これにより、さらに悪質なプログラムを感染したマシンにダウンロードしようとします。

  • pc-winlive.com
  • pccare-live.com
  • pc-windowslive.com
  • pcwindows-live.com
  • pcguard20-10.com
  • pc-winlive2010.com
  • pc-windows-live.com
  • pc-guard-20-10.com
  • pcwinlive.com
  • pc-carelive.com
  • pc-win-live-2010.com
  • pc-winlive-2010.com
  • pcwinlive-2010.com
  • lionerduvoska.com
  • gertunilosab.com
  • vionertugafe.com
  • nasedruvalkol.com
  • skajirnovaya.com
  • ellasotkamatu.com
  • kovanertuga.com
  • munkertulibo.com
  • iposkadertuv.com
  • neobkasederdu.com

-- 2009年12月17日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.theregister.co.uk/2009/12/16/google_doodle_scareware/

--

・FakeAlert-AntiVirusProが実行されると、以下のフォルダを作成します。

  • C:\Documents and Settings\Administrator\Application Data\Internet Antivirus Pro
  • C:\Documents and Settings\Administrator\Application Data\Internet Antivirus Pro\db
  • C:\Documents and Settings\All Users\Start Menu\Programs\Internet Antivirus Pro
  • C:\Program Files\Internet Antivirus Pro
  • C:\Program Files\Internet Antivirus Pro\db
  • C:\Program Files\Internet Antivirus Pro\Languages

・次に、以下のファイルをドロップ(作成)します。

  • %Appdata%\Internet Antivirus Pro\db\config.cfg
  • %Appdata%\Internet Antivirus Pro\db\Timeout.inf
  • %Appdata%\Internet Antivirus Pro\db\Urls.inf
  • %Appdata%\Microsoft\Internet Explorer\Quick Launch\Internet Antivirus Pro.lnk
  • %Appdata%\Microsoft\Windows\winlogon.exe
  • %AllUserProfile%\Desktop\Internet Antivirus Pro.lnk
  • %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Internet Antivirus Pro Home Page.lnk
  • %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Internet Antivirus ro.lnk
  • %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Purchase License.lnk
  • %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Uninstall Internet Antivirus Pro.lnk
  • C:\Program Files\Common Files\118172char.exe
  • C:\Program Files\Common Files\222507paint.exe
  • C:\Program Files\Common Files\715805calc.exe
  • C:\Program Files\Internet Antivirus Pro\activate.ico
  • C:\Program Files\Internet Antivirus Pro\Explorer.ico
  • C:\Program Files\Internet Antivirus Pro\IAPro.exe
  • C:\Program Files\Internet Antivirus Pro\unins000.dat
  • C:\Program Files\Internet Antivirus Pro\unins000.exe
  • C:\Program Files\Internet Antivirus Pro\uninstall.ico
  • C:\Program Files\Internet Antivirus Pro\working.log
  • C:\Program Files\Internet Antivirus Pro\db\DBInfo.ver
  • C:\Program Files\Internet Antivirus Pro\db\ia080614.db
  • C:\Program Files\Internet Antivirus Pro\db\ia080618x.db
  • C:\Program Files\Internet Antivirus Pro\db\ia091024r.db
  • C:\Program Files\Internet Antivirus Pro\db\ia190908g.db
  • C:\Program Files\Internet Antivirus Pro\db\lists.ini
  • C:\Program Files\Internet Antivirus Pro\db\WMILib.dll
  • C:\Program Files\Internet Antivirus Pro\Languages\IAEs.lng
  • C:\Program Files\Internet Antivirus Pro\Languages\IAFr.lng
  • C:\Program Files\Internet Antivirus Pro\Languages\IAGer.lng
  • C:\Program Files\Internet Antivirus Pro\Languages\IAIt.lng

・次に、以下のレジストリ項目を改変します。

  • Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run "Microsoft Windows logon process"
    種類: REG_SZ
    データ: C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\winlogon.exe
  • Hkey_Local_Machine\Software\Microsoft\Security Center "AVPath"
    種類: REG_SZ
    データ: \\.\root\SecurityCenter:AntiVirusProduct.instanceGuid="{99C4A26C-27A1-46FD-AD5A-C3CA07B70D26}"
  • Hkey_Local_Machine\Software\Microsoft\Security Center "AntiVirusDisableNotify"
    データ: 00
  • Hkey_Local_Machine\Software\Microsoft\Security Center "FirewallDisableNotify"
    データ: 00
  • Hkey_Local_Machine\Software\Microsoft\Security Center "FirstRunDisabled"
    データ: 00
  • Hkey_Local_Machine\Software\Microsoft\Security Center "UpdatesDisableNotify"
    データ: 00

・次に、マシンで大げさなスキャンを実行し、偽のウイルス検出のアラートを生成します。これにより、FakeAlert-AntiVirusProが検出したとするマルウェアを駆除するため、ソフトウェアの完全版を購入するよう、ユーザに促します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリ項目が存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足