・実行時、以下のフォルダを作成します。
C:\Documents and Settings\All Users\Start Menu\PAV
C:\Program Files\Common Files\Uninstall
C:\Program Files\PAV
・以下のファイルをドロップ(作成)します。
%SYSTEM32%\winexplorer.dll
・さらに、以下に自身をコピーします。
C:\Program Files\PAV\pav.exe
・以下のショートカットを作成します。
%DESKTOP%\Personal Antivirus.lnk
・以下のレジストリキーを追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E59498D-7E44-4452-9044-0973B080B9E8}\InprocServer32\: "%SYSTEM32%\winexplorer.dll"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PAV: "C:\Program Files\PAV\pav.exe"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\cczcqfvj: "[削除]"
- KEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvqiet: "[削除]"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvvpggkxpso: [削除]
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvymj: "By:kHYjZ@cBKD"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\fgxdapk: "=gFlEnjor!!"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\cnefijtol:
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\vyycwhvrjt: ";r>LEaVkEdfmDP>]A:V\=c^fb!!"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\vyycvshbnpzo: "?yBM=db:CnR;@a^;Ia>l:]:PU!!"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\slycidaeybk: "DE^L;;JKC]Bl>gF;?CnjG^rS:!!"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\knvsilw: "Ne;@M"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\pgxbbdje: "FNjJ^!!"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\vyycuupe: "H?b_o!!"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\jqmxlmav: "H=;>JOW?OSs@WoW?>Z?@Y"
- HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195\slliqdtj: "[削除]
・以下のウィンドウが表示されます。
・FakeAlert-PersonalAVは乗っ取ったマシンをスキャンし、偽の警告を表示して、ユーザに製品を購入させようとします。
・以下のリモートサーバに接続しようとします。
- securedliveuploads.com
- protectionupdatecenter.com
