ウイルス情報

ウイルス名 危険度

Generic FakeAlert.a

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5294
対応定義ファイル
(現在必要とされるバージョン)
6373 (現在7634)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 AVG - Dropper.Generic3.AYNL NOD32 - a variant of Win32/Injector.FQG TrendMicro - TROJ_FAKEAV.III Microsoft - Rogue:Win32/FakeRean
情報掲載日 2011/04/08
発見日(米国日付) 2007/10/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

--2011年4月7日更新---

ファイル情報

  • MD5 - C5259232B455F00AD668B9B12D5A6E0B
  • SHA - 3927EA4EE9A5521F6661EC2C039DB7EF1BD75539

-- 2010年2月26日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.theregister.co.uk/2010/02/25/killer_whale_scareware/ --

・Generic FakeAlert.aはAntivirus2008を気づかない間にインストールし、ウイルススキャンをシステムで実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

TOPへ戻る

ウイルスの特徴

--2011年4月7日更新---

・Generic FakeAlert.aは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。

・Generic FakeAlert.aは完全に自動でXP security 2011をインストールし、ウイルススキャンをシステムで実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

・実行時、以下のファイルをドロップ(作成)します。

  • %Userprofile%\Local Settings\Application Data\61am7kh612rw85n14158n8334sb5378m1c5h32
  • %Userprofile%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
  • %Temp%\61am7kh612rw85n14158n8334sb5378m1c5h32
  • %Userprofile%\Templates\61am7kh612rw85n14158n8334sb5378m1c5h32
  • %Systemdrive%\Documents and Settings\All Users\Application Data\61am7kh612rw85n14158n8334sb5378m1c5h32

・以下のレジストリキーがシステムに追加されます。

  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\GDIPlus
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile

・以下のレジストリ値が追加されます。

  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\nid.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\nid.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\nid.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\nid.exe" -a "%1" %*"

・上記のレジストリにより、Generic FakeAlert.aが乗っ取ったシステムに登録され、ユーザが実行ファイルを開こうとするたびに実行されるようにします。

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\nid.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\: ""C:\Documents and Settings\Administrator\Desktop\nid.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\: ""C:\Documents and Settings\Administrator\Desktop\nid.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe""

・上記のレジストリ項目により、ユーザがFirefox、IExplorer.exeアプリケーションなどのブラウザを開こうとすると、すぐにGeneric FakeAlert.aが実行されるようにします。

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]

-- 2010年3月1日更新 --

・シャチの事故を利用したGeneric FakeAlert.aの新しい亜種が発見されました。この亜種はSecurity Antivirusをダウンロードしてインストールし、システムスキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

・実行時、以下の動作が見られます。

  • 以下のURLに感染を報告します。
http://secure-

[削除].in/Reports/MicroinstallServiceReport.php?p=[ハッシュ]

・[ハッシュ]はターゲットの識別ハッシュを含む文字列を指します。

  • 以下のURLからSecurity Antivirusをダウンロードします。
http://secure [削除].in/index.php?controller=microinstaller&abbr=SAV&setupType=xp&ttl=21124369cb8&pid=

・このマルウェアもGeneric FakeAlert.aという名前で検出されます。

  • 以下のドメインにアクセスします。

protected[削除].in

[削除]antivirus.net

[削除]-securepayment.com

save-[削除].com

payment[削除].net

  • 以下のレジストリキーを作成します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SAV = %DOCSETTINGS%\All Users\Application Data\30731ba\LivePCGuard.exe /s

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SAV = %TEMP%\[ファイル名].exe /cs:1

(%DOCSETTINGS%はDocuments and Settingsフォルダ(例:C:\Documents and Setting,)、%TEMP%はテンポラリフォルダ(例:%DOCSETTINGS%\Local Settings\Temp)を指します。[ファイル名]はGeneric FakeAlert.aが実行される名前です。)

・実行時、Security Antivirusは以下の動作を行います。

  • 以下の画面を表示して、システムが感染したと称し、駆除のため、Generic FakeAlert.aを登録するよう要求します。

  • 複数のウイルス対策、セキュリティツールのバイナリのイメージファイル実行オプションを変更します。これにより、これらのファイルが実行されないようにします。
  • Internet Explorerのデフォルトの検索エンジンを以下の値に変更します。
    http://find
    [削除].com/?&uid=7&q={searchTerms}
  • Internet Explorerのプロキシ設定を変更し、以下のURLに向けさせます。
    http://127.0.0.1:27777/?inj=%ORIGINAL%
  • 無効なシグネチャを含むバイナリの実行を可能にします。
  • 以下のファイルをドロップします。

%DOCSETTINGS%\All Users\Application Data\a7eb7\SAee2.exe

%DOCSETTINGS%\All Users\Application Data\a7eb7\SAV.ico

%DOCSETTINGS%\All Users\Application Data\SAMRBILV\SAEGJV.cfg

%DOCSETTINGS%\username\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Antivirus.lnk

%DOCSETTINGS%\username\Application Data\Security Antivirus\Instructions.ini

%DOCSETTINGS%\username\Start Menu\Programs\Security Antivirus.lnk

%DOCSETTINGS%\username\Start Menu\Security Antivirus.lnk

%DOCSETTINGS%\username\Recent\ANTIGEN.sys

%DOCSETTINGS%\username\Recent\DBOLE.dll

%DOCSETTINGS%\username\Recent\eb.tmp

%DOCSETTINGS%\username\Recent\exec.dll

%DOCSETTINGS%\username\Recent\exec.drv

%DOCSETTINGS%\username\Recent\fix.sys

%DOCSETTINGS%\username\Recent\kernel32.exe

%DOCSETTINGS%\username\Recent\PE.drv

%DOCSETTINGS%\username\Recent\PE.exe

%DOCSETTINGS%\username\Recent\ppal.dll

%DOCSETTINGS%\username\Recent\runddlkey.exe

%DOCSETTINGS%\username\Recent\SICKBOY.exe

%DOCSETTINGS%\username\Recent\sld.exe

%DOCSETTINGS%\username\Recent\SM.tmp

%DOCSETTINGS%\username\Recent\snl2w.drv

%DOCSETTINGS%\username\Recent\tjd.tmp

  • 以下の項目を%WINDOWS\system32\drivers\etc\hostsに追加します。

74.125.45.100 4-open-davinci.com

74.125.45.100 securitysoftwarepayments.com

74.125.45.100 privatesecuredpayments.com

74.125.45.100 secure.privatesecuredpayments.com

74.125.45.100 getantivirusplusnow.com

74.125.45.100 secure-plus-payments.com

74.125.45.100 www.getantivirusplusnow.com

74.125.45.100 www.secure-plus-payments.com

74.125.45.100 www.getavplusnow.com

74.125.45.100 safebrowsing-cache.google.com

74.125.45.100 urs.microsoft.com

74.125.45.100 www.securesoftwarebill.com

74.125.45.100 secure.paysecuresystem.com

74.125.45.100 paysoftbillsolution.com

74.125.45.100 protected.maxisoftwaremart.com

88.198.198.206 www.google.com

88.198.198.206 google.com

88.198.198.206 google.com.au

88.198.198.206 www.google.com.au

88.198.198.206 google.be

88.198.198.206 www.google.be

88.198.198.206 google.com.br

88.198.198.206 www.google.com.br

88.198.198.206 google.ca

88.198.198.206 www.google.ca

88.198.198.206 google.ch

88.198.198.206 www.google.ch

88.198.198.206 google.de

88.198.198.206 www.google.de

88.198.198.206 google.dk

88.198.198.206 www.google.dk

88.198.198.206 google.fr

88.198.198.206 www.google.fr

88.198.198.206 google.ie

88.198.198.206 www.google.ie

88.198.198.206 google.it

88.198.198.206 www.google.it

88.198.198.206 google.co.jp

88.198.198.206 www.google.co.jp

88.198.198.206 google.nl

88.198.198.206 www.google.nl

88.198.198.206 google.no

88.198.198.206 www.google.no

88.198.198.206 google.co.nz

88.198.198.206 www.google.co.nz

88.198.198.206 google.pl

88.198.198.206 www.google.pl

88.198.198.206 google.se

88.198.198.206 www.google.se

88.198.198.206 google.co.uk

88.198.198.206 www.google.co.uk

88.198.198.206 google.co.za

88.198.198.206 www.google.co.za

88.198.198.206 www.google-analytics.com

88.198.198.206 www.bing.com

88.198.198.206 search.yahoo.com

88.198.198.206 www.search.yahoo.com

88.198.198.206 uk.search.yahoo.com

88.198.198.206 ca.search.yahoo.com

88.198.198.206 de.search.yahoo.com

88.198.198.206 fr.search.yahoo.com

88.198.198.206 au.search.yahoo.com

--

・Generic FakeAlert.aはAntivirus2008を気づかない間にインストールし、ウイルススキャンをシステムで実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

・以下のレジストリキーが追加、改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\VerStr: "1.0.2.8"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\VerInt: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Cnt: "PE"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Lng: "ch"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\UnInsAct: 0x00000023
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\MAbbr: "ANT"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Type: "exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FoundCount: 0x0000002B
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FoundInfo
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\PID: "1AB6B0E7B6E0B7B1E2B1BDE8BCBABFE8BAF6A0F0F0F0F7A7F3A8FDA9AAAAAAA6"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FirstRun: 0x00000000
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Root: "C:\Program Files\Antivirus 2008"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\ExeFileName: "Antvrs.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\TIns
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\: "AutoStart-done"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\aid: "keyin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\affid: "keyin"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\lid: "keyin"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Antivirus: "C:\Program Files\Antivirus 2008\Antvrs.exe"
  • HKEY_CURRENT_USER\Software\Antivirus\VerStr: "1.0.2.8"
  • HKEY_CURRENT_USER\Software\Antivirus\VerInt: 0x00000001
  • HKEY_CURRENT_USER\Software\Antivirus\Cnt: "PE"
  • HKEY_CURRENT_USER\Software\Antivirus\Lng: "ch"
  • HKEY_CURRENT_USER\Software\Antivirus\UnInsAct: 0x00000023
  • HKEY_CURRENT_USER\Software\Antivirus\MAbbr: "ANT"
  • HKEY_CURRENT_USER\Software\Antivirus\Type: "exe"
  • HKEY_CURRENT_USER\Software\Antivirus\FoundCount: 0x0000002B
  • HKEY_CURRENT_USER\Software\Antivirus\FoundInfo
  • HKEY_CURRENT_USER\Software\Antivirus\PID: "1AB6B0E7B6E0B7B1E2B1BDE8BCBABFE8BAF6A0F0F0F0F7A7F3A8FDA9AAAAAAA6"
  • HKEY_CURRENT_USER\Software\Antivirus\FirstRun: 0x00000000
  • HKEY_CURRENT_USER\Software\Antivirus\Root: "C:\Program Files\Antivirus 2008"
  • HKEY_CURRENT_USER\Software\Antivirus\ExeFileName: "Antvrs.exe"
  • HKEY_CURRENT_USER\Software\Antivirus\TIns
  • HKEY_CURRENT_USER\Software\Antivirus\: "AutoStart-done"
  • HKEY_CURRENT_USER\Software\Antivirus\aid: "keyin"
  • HKEY_CURRENT_USER\Software\Antivirus\affid: "keyin"
  • HKEY_CURRENT_USER\Software\Antivirus\lid: "keyin"

・以下のファイルが追加されます。

  • %DOCSETTINGS%\Start Menu\Antivirus\Antivirus 2008.lnk
  • %DOCSETTINGS%\Start Menu\Antivirus\Uninstall Antivirus.lnk
  • %PROGRAMFILES%\Antivirus 2008\Antvrs.exe

・以下のフォルダが作成されます。

  • %DOCSETTINGS%\Application Data\Antivirus
    (%PROGRAMFILES%はWindowsのプログラムフォルダ(例:C:\Program Files)、%DOCSETTINGS%はDocuments and Settingsフォルダ(例:C:\Documents and Setting\ユーザ名))

・以下のドメインにアクセスします。

  • antivirus2008x.com
  • 72-9-10 8-82.reverse.ezz i.net.

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のレジストリ項目が存在します。
  • 上記のファイルが存在します。
  • 上記のドメインへの予期しないネットワーク接続が存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。スパムメール、IRC、P2Pネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。

TOPへ戻る