-- 2009年10月22日更新 --
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://www.theregister.co.uk/2009/10/21/kanye_west_scareware
--
・FakeAlert-JTは、偽のアラートを表示して、ユーザに「スパイウェア、マルウェアの問題を修復する」製品を購入させようとするトロイの木馬です。悪質な動作を隠蔽し、ターゲットに無害なスクリーンセーバープログラムと思わせてインストールさせる可能性があります。
・実行時、以下のレジストリ項目が作成されます。
- HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
- HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
- HKEY_USERS\S-1-5-19\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes
- HKEY_USERS\S-1-5-19_Classes\Software\Microsoft\Internet Explorer\SearchScopes
- HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes
- HKEY_USERS\S-1-5-21-854245398-796845957-1417001333-500_Classes\Software\Microsoft\Internet Explorer\SearchScopes
- HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes
- HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
・また、自身を実行するため、以下のデータと値が追加されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Smart Virus Eliminator"
データ: "C:\Documents and Settings\All Users\Application Data\bd3bf\SM7a4.exe" /s /d
・以下のファイルが追加されます。
- %SysRoot%\Documents and Settings\[カレントユーザ]\Local Settings\Temp\asp2009.exe
- %SysRoot%\Documents and Settings\[カレントユーザ]\Local Settings\Temp\SMVE.ico
- %SysRoot%\Documents and Settings\カレントユーザ]\Local Settings\Temp\SMVESys\vd952342.bd
- %SysRoot%\Documents and Settings\[カレントユーザ]\Start Menu\Smart Virus Eliminator.lnk
- %SysRoot%\Documents and Settings\[カレントユーザ]Start Menu\Programs\Smart Virus Eliminator.lnk
- %SysRoot%\Documents and Settings\All Users\Application Data\bd3bf\SM7a4.exe
- %SysRoot%\Documents and Settings\All Users\Application Data\SMVESys\smve.cfg
- %SysRoot%\Documents and Settings\[カレントユーザ]\Desktop\Smart Virus Eliminator.lnk
・これらのファイルはFakeAlert-WPSという名前で検出されます。
・以下のドメインとの接続が行われる可能性があります。
- freeav[削除].com
- prest[削除].cn
- gurus[削除].com
・FakeAlert-JTは偽のホストのスキャンを実行し、断続的に偽の感染の警告をポップアップ表示します。これらの警告の一例は以下のとおりです。
偽のアップデートの警告:
偽のリモートデータ漏えいの警告:
偽のBotの感染:
偽のトロイの木馬の感染:
