TROJ_FAKEAV.THEB

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Graphical User Interface（GUI）を用いて、正規のソフトウェアを装います。

マルウェアは、「Registry Shell Spawning」という手法で特定のレジストリキーまたはレジストリ値を変更します。これにより、他のアプリケーションが実行されると、このマルウェアも自動実行されます。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。

マルウェアは、偽のセキュリティソフトを装った不正活動をします。マルウェアは、感染したコンピュータのタスクトレイにポップアップメッセージを表示し、（このマルウェアとは別の）マルウェアに感染しているように見せかける 偽の感染通知 をユーザに知らせます。この偽の感染通知には、「完全バージョンがないとマルウェアの削除が行えません」等の表示があり、ユーザは、偽セキュリティソフトの完全バージョン を購入させられることになります。 マルウェアは、偽のセキュリティソフトを装った不正活動をします。マルウェアは、偽の警告およびスキャン結果を表示し、また、自身をインストールする際、他のアプリケーションもインストールします。このインストールされたアプリケーションもこのマルウェアとして検出されます。 マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

• %Application Data%\1rgtu3e347th03
• %Application Data%\GDIPFONTCACHEV1.DAT
• %User Profile%\1rgtu3e347th03
• %User Profile%\Application Data\1rgtu3e347th03
• %User Temp%\1rgtu3e347th03
• %User Profile%\Templates\1rgtu3e347th03

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

自動実行方法

マルウェアは、「Registry Shell Spawning」という手法で以下のレジストリキーまたはレジストリ値を変更します。これにより、特定のファイル形式のファイルが開かれると、このマルウェアも自動実行されます。

HKEY_CLASSES_ROOT\.exe\shell\
open\command
@ = "{malware path and file name}.exe" -a "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
@ = "{malware path and file name}.exe" -a "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
@ = "{malware path and file name}.exe" -a "%1" %*

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\.exe\DefaultIcon

HKEY_CLASSES_ROOT\.exe\shell

HKEY_CURRENT_USER\Software\Classes\
.exe

HKEY_CURRENT_USER\Software\Classes\
exefile

マルウェアは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\exefile\shell\
open\command
@ = "{malware path and file name}.exe" -a "%1" %*

(註：変更前の上記レジストリ値は、「"%1" %*」となります。)

ダウンロード活動

マルウェアは、以下の不正Webサイトにアクセスします。

• http://{BLOCKED}beze.com/1015000112

偽セキュリティソフト型不正プログラムによる不正活動

マルウェアは、偽のセキュリティソフトを装った不正活動をします。マルウェアは、感染したコンピュータのタスクトレイにポップアップメッセージを表示し、（このマルウェアとは別の）マルウェアに感染しているように見せかける 偽の感染通知 をユーザに知らせます。この偽の感染通知には、「完全バージョンがないとマルウェアの削除が行えません」等の表示があり、ユーザは、偽セキュリティソフトの完全バージョン を購入させられることになります。

マルウェアは、偽のセキュリティソフトを装った不正活動をします。マルウェアは、偽の警告およびスキャン結果を表示し、また、自身をインストールする際、他のアプリケーションもインストールします。このインストールされたアプリケーションもこのマルウェアとして検出されます。

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。