ウイルス情報

ウイルス名 危険度

Generic FakeAlert.c

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5281
対応定義ファイル
(現在必要とされるバージョン)
6340 (現在7652)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky: Trojan-Downloader.Win32.FraudLoad.fka Microsoft: Trojan:Win32/FakeXPA Symantec: Downloader AVG: Downloader.Generic8.BLOQ.dropper
情報掲載日 2008/05/27
発見日(米国日付) 2008/04/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Generic FakeAlert.cは偽のウイルス検出を報告し、ユーザにコンピュータをクリーンにするソフトウェアの完全版を購入するよう促します。

新たなシステムに感染しようとせず、ユーザが操作しない限り、インストールされることはありません。

--2010年8月7日更新---

・Generic FakeAlert.cはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報:

  • MD5 : 75DE38E4184A75D7FF6356D81FEB469C
  • SHA : B20A628F2BAA4B46FBC594D1EF61764E19D85779

TOPへ戻る

ウイルスの特徴

--2010年8月7日更新---

・Generic FakeAlert.cは、偽のエラーメッセージを表示して、スパイウェアが検出されたと思わせ、ユーザに購入を促す広告を積極的に表示するマルウェアです。

・実行時、リモートポート「80」を使って「p4678z.[削除]-av.com」に接続し、リモートサーバから悪質なファイルをダウンロードします。

・以下のファイルがシステムに追加されます。

  • %temp%\nslD.tmp\exdll.dll [FakeAlert-GreenAVという名前で検出]
  • %temp%\nsfF.tmp\exdll.dll [FakeAlert-GreenAVという名前で検出]
  • %temp%\nsu12.tmp\exdll.dll [FakeAlert-GreenAVという名前で検出]
  • %temp%\nsj15.tmp\exdll.dll [FakeAlert-GreenAVという名前で検出]

・システムの以下のファイルが改変されます。

  • %WINDIR%\system32\drivers\etc\hosts [QHosts-132という名前で検出]
リダイレクトされるWebサイトは以下のとおりです。
  • 208.43.47.212 a1.review.zdnet.com
  • 208.43.47.212 reviews.riverstreams.co.uk
  • 208.43.47.212 d1.reviews.cnet.com
  • 208.43.47.212 review.2009softwarereviews.com
  • 208.43.47.212 reviews.download.com
  • 208.43.47.212 reviews.pcadvisor.co.uk
  • 208.43.47.212 reviews.pcmag.com
  • 208.43.47.212 reviews.pcpro.co.uk
  • 208.43.47.212 reviews.techradar.com
  • 208.43.47.212 toptenreviews.com
  • 208.43.47.212 www.reevoo.com

・%WinDir%\System32\Drivers\EtcにあるHOSTSファイルは、WindowsがURLのIPアドレスを解決するのに使われます。パフォーマンス上の理由から、Windowsは最初にHOSTSファイルを確認し、適切な項目が見つからない場合は、DNSおよびWINSを使用して、IPアドレスを解決しようとします。Generic FakeAlert.cに感染すると、HOSTSファイルに入力される静的マッピングが失われます。

・上記のHOSTSファイルの改変により、これらのURLのネットワークトラフィックが208.43.47.212に向けられます。このIPアドレスはステージングサーバで、他のマルウェアが保管されている可能性があります。しかし、このウイルス情報の作成時には、このサイトはダウンしていました。

・以下のフォルダがシステムに追加されます。

  • %temp%\nslD.tmp
  • %temp%\nsfF.tmp
  • %temp%\nsu12.tmp
  • %temp%\nsj15.tmp
  • %temp%\nsl17.tmp
  • %temp%\nso1B.tmp
  • %temp%\nsh1D.tmp
  • %AppData%\gra

・以下のレジストリ値がシステムに追加されます。

  • HKEY_USERS\S-1-5-21-(不定)\Software\ Microsoft\Windows\ShellNoRoam\MUICache\%userprofile%\Desktop\_hnjajxgs-psh800003C4.zip\800003C4.exe: "800003C4"
(%WinDir%はデフォルトのWindowsフォルダ(例:C:\WINNT、C:\WINDOWSなど)、%Temp%はテンポラリフォルダ、%userprofile% - C:\Documents and Settings\[ユーザ名]、%AppData% - C:\Documents and Settings\[ユーザ名]\Application Data )

・Generic FakeAlert.cがインストールされると、自動的にスキャンを実行し、以下のような偽のウイルス検出の警告を表示します。

・ユーザが検出ファイルの駆除を選択すると、ポップアップウィンドウが表示され、製品を購入するよう促します。

・Generic FakeAlert.cは、ユーザがログインするたびに動作するよう、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに新しい値を追加します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 予期しない警告ウィンドウが表示されます。
  • Windowsトレイに新しいアイコンが存在します。

--2010年8月7日更新---

  • 上記のファイルおよびレジストリが存在します。
  • 上記のIPアドレスへの予期しないネットワーク接続が存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。

TOPへ戻る