TROJ_FAKEAL.DGG
Trojan.FakeAV (Symantec); Trojan:Win32/FakeSysdef (Microsoft); Trojan.Win32.Jorik.Fraud.anw (Kaspersky); FakeAlert-SysDef.b (Mcafee); Mal/FakeAV-LS (Sophos)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、Internet Explorer(IE)のゾーン設定を変更します。
マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\{random filename}
- %Desktop%\System Repair.lnk
- %Start Menu%\Programs\System Repair\System Repair.lnk
- %Start Menu%\Programs\System Repair\Uninstall System Repair.lnk
- %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\System Repair.lnk
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Desktop%フォルダは、Windows 98 および MEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\デスクトップ" です。 Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\デスクトップ"、Windows 2000、XP、Server 2003の場合は "C:\Documents and Settings\<ユーザ名>\デスクトップ" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\{random filename}.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、以下のフォルダを作成します。
- %Start Menu%\Programs\System Repair
(註: %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。)
Webブラウザのホームページおよび検索ページの変更
マルウェアは、IEのゾーン設定を変更します。
ダウンロード活動
マルウェアは、以下の不正Webサイトにアクセスします。
- {BLOCKED}ttract.org
- {BLOCKED}void.org
- {BLOCKED}became.org
- {BLOCKED}egan.org
- {BLOCKED}leach.org
- {BLOCKED}reck.org
- {BLOCKED}iggle.org
- {BLOCKED}emselves.org
- {BLOCKED}eory.org
- {BLOCKED}ail.org
- {BLOCKED}ansportation.org
その他
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TROJ_FAKEAL.DGG」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
以下のフォルダを検索し削除します。
手順 4
以下のファイルを検索し削除します。
- %System Root%\Documents and Settings\All Users\Application Data\{random filename}
- %Desktop%\System Repair.lnk
- %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\System Repair.lnk
手順 5
Internet Explorer(IE)のセキュリティ設定を修正します。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAL.DGG」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください