TROJ_FAKEAV.BAF
Windows 98, ME, NT, 2000, XP, Server 2003
- マルウェアタイプ:
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。 マルウェアは、Webサイトにアクセスし、ファイルをダウンロードします。これにより、感染コンピュータ上に他のマルウェアがダウンロードまたは作成されます。
詳細
インストール
マルウェアは、以下のファイルを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}\- %Start Menu%\Programs\SYSTEM SECURITY\SYSTEM SECURITY 2009.LNK
- %Start Menu%\Programs\SYSTEM SECURITY\SYSTEM SECURITY 2009 SUPPORT.LNK
- %User Temp%2956109.cmd
- %Desktop%\SYSTEM SECURITY 2009.LNK
(註: %Desktop%フォルダは、Windows 98 および MEの場合、通常 ""C:\Windows\Profiles\<ユーザ名>\デスクトップ"" です。 Windows NTの場合、""C:\WINNT\Profiles\<ユーザ名>\デスクトップ""、Windows 2000、XP、Server 2003の場合は ""C:\Documents and Settings\<ユーザ名>\デスクトップ"" です。) )
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
ダウンロード活動
マルウェアは、以下の不正Webサイトにアクセスします。
HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}
(Default)=
HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}\InprocServer32
(Default)={malware path and filename}
HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}\InprocServer32
ThreadingModel=Apartment
HKEY_CLASSES_ROOT0486ba1-ac77-4a17-bbae-96945b9473b1.TIEAdvBHO
(Default)=
HKEY_CLASSES_ROOT0486ba1-ac77-4a17-bbae-96945b9473b1.TIEAdvBHO\CLSID
(Default)={D032570A-5F63-4812-A094-87D007C23012}
HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}\ProgID
(Default)=00486ba1-ac77-4a17-bbae-96945b9473b1.TIEAdvBHO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}
(Default)=- {BLOCKED}
- {BLOCKED}
- {BLOCKED}
マルウェアは、Webサイトにアクセスし、以下のファイルをダウンロードします。
- C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA29498122949812.exe
- %User Temp%\sseFEFB.tmp
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
)対応方法
手順 1
メモリ上で実行されているプロセスを終了します。
- 検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
DATA_GENERIC
手順 2
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
- {90BF8224-CD63-4081-A4C7-EF9A2CF6596F}=
- HKEY_LOCAL_MACHINE\SOFTWARE2948812
- pc02948812ins=1
- HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Uninstall\SystemSecurity2009
- DisplayName=System Security 2009
- ShortcutPath=%Start Menu%\Programs\System Security\System Security 2009 Support.lnk
- UninstallString=%Start Menu%\Programs\System Security\System Security 2009 Support.lnk
- DisplayIcon=C:\Documents and Settings\All Users\Application Data29488122948812.exe,0
- HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run2948812
- C:\Documents and Settings\All Users\Application Data29488122948812.exe=REG_SZ
手順 3
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Installer\UserData\S-1-5-18\Products\904000001E872D116BF00006799C897E\Usage
- From: ProductNonBootFiles=3a8c002e
+ To: ProductNonBootFiles=36b2002d
- From: ProductNonBootFiles=3a8c002e
手順 4
以下のファイルを検索し削除します。
- %Start Menu%\Programs\SYSTEM SECURITY\SYSTEM SECURITY 2009.LNK
- %Start Menu%\Programs\SYSTEM SECURITY\SYSTEM SECURITY 2009 SUPPORT.LNK
- %User Temp%2956109.cmd
- %Desktop%\SYSTEM SECURITY 2009.LNK
- C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA29498122949812.exe
- %User Temp%\sseFEFB.tmp
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.BAF」と検出したファイルはすべて削除してください。 註=検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。
ご利用はいかがでしたか? アンケートにご協力ください