Trend Micro Security

TROJ_FAKEAV.BBY

2017年9月25日
 解析者: Marfel Tiamzon   
 別名:

Microsoft: Trojan:Win32/FakeSysdef; Kaspersky: Trojan-Dropper.Win32.FrauDrop.xysa; McAfee: Generic FakeAlert.by

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 462,848 bytes
メモリ常駐 はい
発見日 2011年9月6日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\All Users\Application Data\{random filename}.exe

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下のフォルダを作成します。

  • %User Temp%\smtmp
  • %User Temp%\smtmp\1
  • %User Temp%\smtmp\2
  • %User Temp%\smtmp\3
  • %User Temp%\smtmp\4

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name} = "%System Root%\All Users\Application Data\{random file name}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallpaper = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDesktop = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software
75fa38b7-8b94-4995-ad32-52e938867954 = ""

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "no"

(註:変更前の上記レジストリ値は、「yes」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

その他

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

マルウェアは、以下のディレクトリ内の特定のファイルを移動させます。

  • 侵入したコンピュータのオペレーティングシステム(OS)のメジャーバージョンが5(Windows XP、Windows 2000、Windows Server 2003)の場合

    • 移動前: %System Root%\Documents and Settings\All Users\Start Menu\
    移動後:%User Temp%\smtmp\1\

    移動前: %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\
    移動後:%User Temp%\smtmp\2\

    移動前: %System Root%\Documents and Settings\All Users\Desktop\
    移動後:%User Temp%\smtmp\4\

  • 侵入したコンピュータのOSのメジャーバージョンが6(Windows Vista、Windows Server 2008、Windows 7)の場合

    • 移動前: %System Root%\ProgramData\Start Menu\
    移動後:%User Temp%\smtmp\1\

    移動前: %User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\
    移動後:%User Temp%\smtmp\2\

    移動前: %User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\
    移動後:%User Temp%\smtmp\3\

    移動前: %System Root%\ProgramData\Desktop\
    移動後:%User Temp%\smtmp\4\

また、マルウェアは、侵入したコンピュータ内で確認したすべてのフォルダおよびファイルの属性を「隠しファイル」に設定します。また、マルウェアは、デスクトップの壁紙を黒に変更します。マルウェアは、エラーを通知する特例のメッセージを表示し、コンピュータでエラーが検出されたため、コンピュータを再起動するようユーザに促します。これらにより、ユーザにコンピュータでエラーが発生したかのように思わせます。

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.460.09
初回 VSAPI パターンリリース日 2011年9月28日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_FAKEAV.BBY」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random file name} = "%System Root%\All Users\Application Data\{random file name}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
    • NoChangingWallpaper = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
    • LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
    • SaveZoneInformation = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableTaskMgr = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoDesktop = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • DisableTaskMgr = "1"
  • In HKEY_CURRENT_USER\Software
    • 75fa38b7-8b94-4995-ad32-52e938867954 = ""

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
    • From: CheckExeSIgnatures = "no"
      To: CheckExeSIgnatures = "yes"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = "0"
      To: Hidden = "1"

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.BBY」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:以下の手順で、このマルウェアが隠しファイル属性に設定したファイルを表示します。

  1. コマンドプロンプトを開きます。
    • Windows 2000、Windows XP および Windows Server 2003 の場合
      [スタート]-[ファイル名を指定して実行]を選択し、"CMD" と入力し、[Enter]キーを押します。
      ※"CMD" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
    • Windows Vista および Windows 7 の場合
      [スタート]-[検索の開始]を選択し、"CMD" と入力し、[Enter]キーを押します。
      ※"CMD" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. コンピュータのすべてのドライブに対し、以下のコマンドを入力します。

    3. attrib -h <ドライブレター>:\*.* /s /d

    ※"attrib"、"-h"、"<ドライブレター>:\*.*"、"/s"、"/d" の間に半角スペースを入れてください。

  3. 以下のコマンドを入力し、コマンドプロンプト閉じます。

    4. exit

また、このマルウェアが移動したファイルを元の場所に復元します。

"%User Temp%\smtmp" フォルダを開き、次のようにファイルをコピーします。

OSのメジャーバージョンが5(Windows XP、Windows 2000、Windows Server 2003)の場合

  • "%User Temp%\smtmp\1\" 内のファイルをコピーし、"%System Root%\Documents and Settings\All Users\Start Menu\" へ復元。

  • "%User Temp%\smtmp\2\" 内のファイルをコピーし、"%User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\" へ復元。

  • "%User Temp%\smtmp\4\" 内のファイルをコピーし、"%System Root%\Documents and Settings\All Users\Desktop\" へ復元。

OSのメジャーバージョンが6(Windows Vista、Windows Server 2008、Windows 7)の場合

  • "%User Temp%\smtmp\1\" 内のファイルをコピーし、"%System Root%\ProgramData\Start Menu\" へ復元。

  • "%User Temp%\smtmp\2\" 内のファイルをコピーし、"%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\" へ復元。

  • "%User Temp%\smtmp\3\" 内のファイルをコピーし、"%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\" へ復元。

  • "%User Temp%\smtmp\4\" 内のファイルをコピーし、"%System Root%\ProgramData\Desktop\" へ復元。

すべてのファイルを元の場所に復元した後、以下のフォルダを削除します。

  • %User Temp%\smtmp


ご利用はいかがでしたか? アンケートにご協力ください