McAfee for Small Businesses

ウイルス名 危険度 FakeAlert-XPSecCenter 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5330 対応定義ファイル (現在必要とされるバージョン) 5744　（現在7084) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 FakeAlert-XPSecCenterFakeAlert-XPSecurityCenter 情報掲載日 2009/09/18 発見日（米国日付） 2008/07/01 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・以下は一般的なパスの編集の既定値です。（異なる場合もありますが、一般的には以下のとおりです。） %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files ・FakeAlert-XPSecurityCenterは以前、Generic FakeAlert.aという名前で検出されていました。 ・FakeAlert-XPSecurityCenterは偽のスパイウェア対策製品で、インストール時にはEULAを表示せず、以下のメッセージのみを表示します。 ・最初のインストーラはhxxp://www.xpsecuritycenter.comから3つのZIP圧縮ファイルをダウンロードします。ZIP圧縮ファイルには、正規のDLLファイルを含む、FakeAlert-XPSecurityCenterが使用するファイルが格納されています。ダウンロードされるZIP圧縮ファイルは以下のとおりです。 Binaries1.zip Binaries2.zip Binaries3.zip ・解凍されたファイルは%ProgramFiles%\XPSecurityCenterに格納されます。 ・以下のファイルが追加されます。 %ProgramFiles%\XPSecurityCenter\data\daily.cvd %ProgramFiles%\XPSecurityCenter\htmlayout.dll %ProgramFiles%\XPSecurityCenter\install.exe %ProgramFiles%\XPSecurityCenter\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest %ProgramFiles%\XPSecurityCenter\Microsoft.VC80.CRT\msvcm80.dll %ProgramFiles%\XPSecurityCenter\Microsoft.VC80.CRT\msvcp80.dll %ProgramFiles%\XPSecurityCenter\Microsoft.VC80.CRT\msvcr80.dll %ProgramFiles%\XPSecurityCenter\pthreadVC2.dll %ProgramFiles%\XPSecurityCenter\un.ico %ProgramFiles%\XPSecurityCenter\unzip32.dll %ProgramFiles%\XPSecurityCenter\XPSecurityCenter.dll %ProgramFiles%\XPSecurityCenter\XPSecurityCenter.exe ・%ProgramFiles%\XPSecurityCenter\XPSecurityCenter.exeが実行され、ロード中、以下のレジストリ項目を作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\XP_SecurityCenter HKEY_LOCAL_MACHINE\SOFTWARE\XP_SecurityCenter\info: [インストール日] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XP SecurityCenter: ""C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide" ・この時点で、FakeAlert-XPSecurityCenterは実行を開始します。システムスキャンを開始すると、ランダムな名前のファイルをドロップ（作成）します。これらのファイルは、スキャンで検出された悪質ソフトウェアとして表示されます。 ・システムスキャン時にFakeAlert-XPSecurityCenterがドロップするランダムな名前のファイルの一例は以下のとおりです。 %DocSetting%\[ユーザ名]\Application Data\vipytajugo._dl %DocSetting%\[ユーザ名]\Cookies\jatis.sys %DocSetting%\[ユーザ名]\Local Settings\Application Data\olypyzude.bin %DocSetting%\[ユーザ名]\Local Settings\Application Data\ycoh.inf %DocSetting%\[ユーザ名]\Local Settings\Temp\Perflib_Perfdata_280.dat %DocSetting%\[ユーザ名]\Local Settings\Temporary Internet Files\aqit._dl %DocSetting%\All Users\Documents\dabog._sy %DocSetting%\All Users\Documents\obiwigojol.vbs %DocSetting%\All Users\Documents\uvarysu._sy %WinDir%\jibonu.ban %WinDir%\juvyxigu.dat %WinDir%\ozuh.dll %WinDir%\sozeb.dat %WinDir%\sucehamibu.ban %WinDir%wavifofow._sy %WinDir%\ydylac._sy 注：上記のファイル名はMcAfeeの分析中に確認されたものです。ランダムな名前はインストールごとに異なります。 ・また、偽のスキャナによって、FakeAlert-XPSecurityCenterがドロップ、検出したランダムなファイルに関する情報が保存されます。スキャン後、システムの感染を伝えるメッセージが表示されます。マシンを駆除するため、製品を登録して購入するよう促します。 ・ユーザが上記のウィンドウを閉じた場合、メモリで動作し続けます。その後、定期的に以下のような偽の警告バルーンメッセージを表示します。 ・確認されている警告メッセージは以下のとおりです。 System warning! Self-restoring Trojan virus that can lead to total system crash has been detected on your PC. Click here to remove this harmful virus immediately with the latest version of XP Security Center. System message! Malicious spyware that can harm your system has been detected on your PC. Click here to remove this riskware immedately with latest version of XP Security Center. System message! Intercepting programs that may compromise your privacy and harm your system has been detected on your PC. Click here to remove them immedately with the latest version of XP Security Center. ・ランダムにドロップされたファイルの検出名として表示される、ハードコード化された検出名の一例は以下のとおりです。 AceBot A-Trojan 2.0 Adware.IpWins BackWebLite Adlogix Advware.Adstart.b Msiebho MPower NavExcel PerMedia PopMonster Description Backdoor.IRCBot Backdoor.Lithium Backdoor.Nucledor Backdoor.Mechbot Backdoor.Agobot.agl Akbot NetTrojan ibis toolbar Findwhatever Hmtoolbar eStart GonnaSearch MWSearch OrbitExplorer PowerStrip SpotOn Proxybar Cram Toolbar DOS 10.b.15 DL Flooder Bomb 2 Dark Hate 3.6 Boo Bomber 2 Flooder.Chat.Ghcif DTrumpet PING Backdoor.IRC.Flood AngryPing Flooder.AOL.Ikobur ACXInstall Dropper-Delf Exploit.winamp.pls Mal/Iframe First4DRM Virtool.DoS.Synte.A Envolo Aenima Fake-Mailer AdStartup Adware.BHO.je Backdoor.Hupigon.mqe Adrotator.IconAds BookedSpace Adware.ZToolbar E2Give MeridianPopUpper SearchFast Iggsey Toolbar ・FakeAlert-XPSecurityCenterはオープンソースのウイルス対策ツールキットであるClamAVのAPIを使用していることが確認されています。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記の偽のメッセージが存在します。 感染方法 TOPへ戻る ・手動によるインストールが確認されています。 駆除方法 TOPへ戻る ■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆除についての補足