TROJ_FAKEAV.LDG

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System%\sckfems.dll
• %System%\sbfihrqe.otr
• %System%\kmgwxrap.hip
• %System Root%\Documents and Settings\All Users\Application Data\{Random File Name}
• %System Root%\Documents and Settings\All Users\Application Data\~{Random File Name}
• %System Root%\Documents and Settings\All Users\Application Data\~{Random File Name}r
• %Application Data%\GDIPFONTCACHEV1.DAT
• %Start Menu%\Programs\System Fix\System Fix.lnk
• %Start Menu%\Programs\System Fix\Uninstall System Fix.lnk
• %User Profile%\Desktop\System Fix.lnk
• %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu " です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\Documents and Settings\All Users\Application Data\{Random File Name}.exe

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のフォルダを作成します。

• %Start Menu%\Programs\System Fix

(註： %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu " です。)

自動実行方法

マルウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\devjcc\Parameters
ServiceDll = %System%\sckfems.dll

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use FormSuggest = "Yes"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnZoneCrossing = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnonBadCertRecving = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
CertificateRevocation = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
3486:TCP = "3486:TCP:*:Enabled:WWW"

マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1601 = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sr\Parameters
FirstRun = 1

(註：変更前の上記レジストリ値は、「0」となります。)

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
GDIPlus

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://getmyip.co.uk/
• http://checkip.dyndns.org/

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}luraw.com/britix/a
• http://{BLOCKED}heamedy.com/up.php?0Q9oBPXEN0uECUgzEJ95RQsajjnvq1aG3F/2q5oNvBGAyHya0iCkBIHoIxsgj7n41ezh
• http://{BLOCKED}luraw.com/britix/a
• http://{BLOCKED}luraw.com/britix/ar
• http://{BLOCKED}ngelog.com/britix/a
• http://{BLOCKED}.{BLOCKED}.146.1:9958/tusp
• http://www.{BLOCKED}an.com/japanese-used-vehicles-cn0

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。