TROJ_FAKEAV.BSM

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。その理由として、マルウェアは、「Google 画像検索」の検索結果でSEOポイズニング（悪質なSEO対策）を伴う攻撃を行うからです。

マルウェアは、複数の製品名を用いて正規のセキュリティを装います。他の偽セキュリティソフト型不正プログラム「FAKEAV」と同様に、このマルウェアも Graphical User Interface（GUI）を表示し、コンピュータが感染しているとユーザに通知し、セキュリティソフトを購入するように促します。

マルウェアは、ユーザがセキュリティソフトの購入を決定すると、個人情報を収集します。収集される情報は、クレジットカードおよび連絡先を含みます。

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、「Registry Shell Spawning」という手法で特定のレジストリキーまたはレジストリ値を変更します。これにより、他のアプリケーションが実行されると、このマルウェアも自動実行されます。

マルウェアは、実行後、自身を削除します。

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}tivirus.cz.cc/fast-scan

インストール

マルウェアは、以下の無害なファイルを作成します。

• C:\Documents and Settings\All Users\Application Data\{random file name}
• %Application Data%\{random file name}
• %User Profile%\Templates\{random file name}
• %User Temp%\{random file name}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{random file name}.exe

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

自動実行方法

マルウェアは、「Registry Shell Spawning」という手法で以下のレジストリキーまたはレジストリ値を変更します。これにより、特定のファイル形式のファイルが開かれると、このマルウェアも自動実行されます。

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""{malware path and file name}" -a "%1" %*"

HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = ""{malware path and file name}" -a "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
(Default) = ""{malware path and file name}" -a "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
(Default) = ""{malware path and file name}" -a "%1" %*"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""{malware path and file name}" -a "%Program Files%\Mozilla Firefox\firefox.exe""

(註：変更前の上記レジストリ値は、「%Program Files%\Mozilla Firefox\firefox.exe」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""{malware path and file name}" -a "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(註：変更前の上記レジストリ値は、「"%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""{malware path and file name}" -a "%Program Files%\Internet Explorer\iexplore.exe""

(註：変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

その他

マルウェアは、実行後、自身を削除します。

偽セキュリティソフト型不正プログラムによる不正活動

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

マルウェアは、以下の名前を用いて感染コンピュータに偽セキュリティソフトをインストールします。

• ＜OSのバージョン＞ Anti-Spyware
• ＜OSのバージョン＞ Anti-Spyware 2011
• ＜OSのバージョン＞ Anti-Virus 2011
• ＜OSのバージョン＞ Home Security
• ＜OSのバージョン＞ Home Security 2011
• ＜OSのバージョン＞ Internet Security 2011
• ＜OSのバージョン＞ Security 2011
• ＜OSのバージョン＞ Total Security
• ＜OSのバージョン＞ Total Security 2011

マルウェアは、以下の Graphical User Interface（GUI）を表示します。

ユーザが偽の製品の購入しようとすると、ユーザを以下のWebサイトにリダイレクトしてクレジットカード番号といった個人情報を要求します。

• ＜省略＞uboqo.com
• ＜省略＞xuxu.com
• ＜省略＞dar.com
• ＜省略＞woto.com
• ＜省略＞syfabapi.com
• ＜省略＞jisem.com
• ＜省略＞kypomow.com
• ＜省略＞hulyqedy.com
• ＜省略＞lap.com
• ＜省略＞byfaf.com
• ＜省略＞nax.com
• ＜省略＞xypo.com
• ＜省略＞kovo.com
• ＜省略＞pacytucy.com
• ＜省略＞pacytucy.com
• ＜省略＞gyry.com
• ＜省略＞vunokyk.com
• ＜省略＞juwevul.com
• ＜省略＞lejuj.com
• ＜省略＞kalyn.com
• ＜省略＞hagupy.com
• ＜省略＞macik.com
• ＜省略＞ragap.com
• ＜省略＞dupi.com
• ＜省略＞sativ.com
• ＜省略＞hidid.com
• ＜省略＞vywuge.com
• ＜省略＞mywy.com
• ＜省略＞kokazoz.com
• ＜省略＞vynyxu.com
• ＜省略＞nageboj.com
• ＜省略＞cin.com
• ＜省略＞vunevu.com
• ＜省略＞nojy.com
• ＜省略＞wobow.com
• ＜省略＞wemyvuda.com
• ＜省略＞kalyna.com
• ＜省略＞ziqyze.com
• ＜省略＞zyp.com
• ＜省略＞fyqevaz.com
• ＜省略＞zegokido.com
• ＜省略＞rinazecit.com
• ＜省略＞kuboqo.com
• ＜省略＞xohyqo.com
• ＜省略＞inejuf.com
• ＜省略＞behasa.com
• ＜省略＞nejuf.com
• ＜省略＞hinynuh.com
• ＜省略＞jimaq.com
• ＜省略＞jez.com
• ＜省略＞vadaqyz.com
• ＜省略＞gapyhi.com
• ＜省略＞tige.com
• ＜省略＞paqatyc.com
• ＜省略＞nena.com
• ＜省略＞huh.com
• ＜省略＞gevuryt.com
• ＜省略＞sope.com
• ＜省略＞pyf.com
• ＜省略＞nyxorun.com
• ＜省略＞hibijy.com
• ＜省略＞xojis.com
• ＜省略＞bytedotu.com
• ＜省略＞zeno.com
• ＜省略＞qufikeg.com
• ＜省略＞papavi.com
• ＜省略＞cogiqek.com
• ＜省略＞fyp.com
• ＜省略＞zupilog.com
• ＜省略＞kubovu.com
• ＜省略＞pah.com
• ＜省略＞vykavo.com
• ＜省略＞kun.com
• ＜省略＞jybi.com
• ＜省略＞hoto.com
• ＜省略＞qoxyxyt.com
• ＜省略＞pyzoqah.com
• ＜省略＞pyla.com
• ＜省略＞dabati.com
• ＜省略＞tyn.com
• ＜省略＞qiceq.com
• ＜省略＞cus.com
• ＜省略＞damaqyr.com
• ＜省略＞nazecit.com
• ＜省略＞ryfuwy.com
• ＜省略＞zykubo.com
• ＜省略＞semijawo.com
• ＜省略＞fodafur.com
• ＜省略＞zom.com
• ＜省略＞byrum.com
• ＜省略＞sotopib.com
• ＜省略＞syfage.com
• ＜省略＞gac.com

マルウェアは、ユーザが「セキュリティソフトを購入する」を選択すると、以下の情報を収集します。

• クレジットカード情報（例：カード会社・カード番号・有効期限・セキュリティコード）
• 連絡先（例：名前・アドレス・Eメール・電話番号）