解析者: Karl Dominguez   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、偽の警告を表示します。

  詳細

ファイルサイズ 460,288 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年9月1日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\Documents and Settings\All Users\Application Data\{random filename}.exe

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下のフォルダを作成します。

  • %User Temp%\smtmp
  • %User Temp%\smtmp\1
  • %User Temp%\smtmp\2
  • %User Temp%\smtmp\3
  • %User Temp%\smtmp\4

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = {malware path and file name}

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallPaper = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = {hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDesktop = 1

HKEY_CURRENT_USER\Software
5fa38b7-8b94-4995-ad32-52e938867954 = {blank}

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSIgnatures = no

(註:変更前の上記レジストリ値は、「yes」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced SuperHidden
SuperHidden = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
StartPage
Favorites = FF

(註:変更前の上記レジストリ値は、「 {binary data which contains the pinned programs in the Start Menu, cannot be restored}」となります。)

偽セキュリティソフト型不正プログラムによる不正活動

マルウェアは、偽の警告を表示します。

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.394.10
初回 VSAPI パターンリリース日 2011年9月1日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_FAKEAV.QUIN」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {malware file name} = {malware path and file name}
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
    • NoChangingWallPaper = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
    • LowRiskFileTypes = {hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
    • SaveZoneInformation = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableTaskMgr = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoDesktop = 1
  • In HKEY_CURRENT_USER\Software
    • 5fa38b7-8b94-4995-ad32-52e938867954 = {blank}

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = 0
      To: Hidden = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
    • From: CheckExeSIgnatures = no
      To: CheckExeSIgnatures = yes
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced SuperHidden
    • From: SuperHidden = 1
      To: SuperHidden = 0
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = 0
      To: ShowSuperHidden = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage
    • From: Favorites = FF
      To: Favorites = {binary data which contains the pinned programs in the Start Menu, cannot be restored}

手順 5

  1. コマンドプロンプトを起動します。
    • Windows 2000、XP および Server 2003 の場合:
      [スタート]-[ファイル名を指定して実行]を選択し、cmd と入力し、Enter を押します。
    • Windows Vista、7、Server 2008 の場合:
      [スタート]をクリックし、検索入力欄に cmd と入力し、Enter を押します。
    • Windows 8、8.1 および Server 2012 の場合:
      [スタート]-[プログラムとファイルの検索]に cmd と入力し、Enter を押します。画面の左下隅を右クリックし、[コマンド プロンプト]を選択します。
      cmd は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. コンソールウィンドウに以下を入力します。

    3. ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [ドライブ:][パス][ファイル名] [/S [/D] [/L]]

    各コマンドの意味は以下のとおりです。
    +:属性の設定
    -:属性の解除
    R:読み取り専用属性
    A:アーカイブ属性
    S:システムファイル属性
    H:隠しファイル属性
    I:非インデックス対象ファイル属性
    [drive:][path][filename]
    [ドライブ:][パス][ファイル名]:attribで処理するファイルの指定
    /S:現在のフォルダとすべてのサブフォルダ内で一致するファイルの処理
    /D:フォルダも処理
    /L:Symbolic Link(シンボリックリンク)のターゲットに対するシンボリックリンク属性での動作

    コマンド例:
    Dドライブ内のサブフォルダを含むすべてのフォルダおよびファイルの隠しファイル属性を解除する場合。
    • ATTRIB -H D:\* /S /D
  3. 他のドライブやディレクトリ内のフォルダおよびファイルに対して、手順 3.)を繰り返してください。

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.QUIN」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連ブログ記事

    This malware is detected and removed by the latest Trend Micro anti-malware engine and pattern. Always keep pattern files and engines up-to-date. To know more about updating your Trend Micro product’s pattern, please refer to the following Trend Micro support page:

    • http://esupport.trendmicro.com/9/How-do-I-manually-update-the-virus-pattern-of-my-Trend-Micro-Internet.aspx

    Note: The steps apply for specific products indicated in the page.

    To actively detect and protect your machine, enable real-time scanning of your Trend Micro anti-malware product. Refer to the following Trend Micro support page to know more about enabling real-time scanning in your Trend Micro product:

    • Home Users: http://esupport.trendmicro.com/solution/en-us/1054798.aspx
    • Business Users: http://esupport.trendmicro.com/Pages/How-do-I-enable-or-disable-the-Real-time-Protection-of-Trend-M-EN-1038331.aspx

    Be aware of social engineering attacks.

    Configure your email server to block or remove email that contain file attachments using extensions such as .vbs, .bat, .exe, .pif and .scr files.

    Avoid opening email attachments and clicking links in an email from unknown source.