TROJ_FAKEAV.MVA
Windows 98, ME, NT, 2000, XP, Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、自身のコピーがWindows起動時に自動実行されるようレジストリ値を追加します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Application Data%\{random}\SM{random}.exe - detected as TROJ_FAKEAV.MVA
- %Application Data%\{random}\SMAV.ico
- %Application Data%\SMSAITAV\SMXPAV.cfg
- %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Master AV.lnk
- %User Profile%\Application Data\Security Master AV\Instructions.ini
- %User Profile%\Desktop\Security Master AV.lnk
- %User Profile%\Start Menu\Programs\Security Master AV.lnk
- %User Profile%\Start Menu\Security Master AV.lnk
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\CLSID
{3F2BBC05-40DF-11D2-9455-00104BC936FF} =
(註:変更前の上記レジストリ値は、「 」となります。)
HKEY_CLASSES_ROOT\SM
{random}.DocHostUIHandler =
(註:変更前の上記レジストリ値は、「 」となります。)
HKEY_CURRENT_USER\Software
3 =
(註:変更前の上記レジストリ値は、「 」となります。)
HKEY_CURRENT_USER\Software\Microsoft
Internet Explorer =
(註:変更前の上記レジストリ値は、「 」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID
{3F2BBC05-40DF-11D2-9455-00104BC936FF} =
(註:変更前の上記レジストリ値は、「 」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
SM
{random}.DocHostUIHandler =
(註:変更前の上記レジストリ値は、「 」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing
FWCFG =
(註:変更前の上記レジストリ値は、「 」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options
{application name} Debugger = "svchost.exe" =
(註:変更前の上記レジストリ値は、「 」となります。)
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TROJ_FAKEAV.MVA」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CLASSES_ROOT\CLSID
- {3F2BBC05-40DF-11D2-9455-00104BC936FF}
- {3F2BBC05-40DF-11D2-9455-00104BC936FF}
- In HKEY_CLASSES_ROOT
- SM{random}.DocHostUIHandler
- SM{random}.DocHostUIHandler
- In HKEY_CURRENT_USER\Software
- 3
- 3
- In HKEY_CURRENT_USER\Software\Microsoft
- Internet Explorer
- Internet Explorer
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
- {3F2BBC05-40DF-11D2-9455-00104BC936FF}
- {3F2BBC05-40DF-11D2-9455-00104BC936FF}
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- SM{random}.DocHostUIHandler
- SM{random}.DocHostUIHandler
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- FWCFG
- FWCFG
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- {application name}
- {application name}
手順 4
以下のファイルを検索し削除します。
ご利用はいかがでしたか? アンケートにご協力ください