TROJ_FAKEAV.KEA

2012年10月8日

解析者: JasperM

プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

詳細

ファイルサイズ 293,120 bytes

タイプ PE

メモリ常駐はい

発見日 2010年8月3日

侵入方法

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

%Application Data\{9 random alpha characters}\{7 random alpha characters}tssd.exe - copy of itself
%Windows%\{7 random alpha characters}tssd.exe - copy of itself

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = {malware path and file name}

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = {malware path and file name}

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows Script\Settings
JITDebug = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = .exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = no

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
RunInvalidSignatures = 1

その他

このマルウェアのコードから、マルウェアは、以下の機能を備えています。

It executes an embedded VBS script from its malware body. This script acts like a legitimate AV program. It cleans known malware processes, files, GUIDs, and BHOs which are pre-listed in the script’s code. It does this by calling several functions that each perform a specific task in cleaning infection.
It then sends a notification to the following servers: {BLOCKED}x.com and {BLOCKED}x.net
It monitors created processes. If a new process is created, this malware does not allow the user to use the executed file. Instead it displays a message that the file being executed by the user is infected and needs to be cleaned. Clicking the button will redirect users to the malware’s fake purchase site.
This malware intercepts requests from the Internet browser and displays a warning message on the browser.

マルウェアは、以下の不正なWebサイトにアクセスします。

www.{BLOCKED}no.org
www.{BLOCKED}no.com
www.{BLOCKED}lt.com
www.{BLOCKED}ra.com

偽セキュリティソフト型不正プログラムによる不正活動

対応方法

対応検索エンジン: 8.900

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_FAKEAV.KEA」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random characters} ={malware path and file name}
In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- {random characters}={malware path and file name}
In HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings
- JITDebug=1
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
- LowRiskFileTypes=.exe
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
- SaveZoneInformation=1
In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
- CheckExeSignatures=no
In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
- RunInvalidSignatures=1

このマルウェアが追加したレジストリ値の削除：

「レジストリエディタ」を起動します。
[スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
右側のパネルで以下のレジストリ値を検索し、削除します。
{random characters} = {malware path and file name}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
右側のパネルで以下のレジストリ値を検索し、削除します。
{random characters} = {malware path and file name}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows Script>Settings
右側のパネルで以下のレジストリ値を検索し、削除します。
JITDebug = 1
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Associations
右側のパネルで以下のレジストリ値を検索し、削除します。
LowRiskFileTypes = .exe
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Attachments
右側のパネルで以下のレジストリ値を検索し、削除します。
SaveZoneInformation = 1
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Download
右側のパネルで以下のレジストリ値を検索し、削除します。
CheckExeSignatures = no
右側のパネルで以下のレジストリ値を検索し、削除します。
RunInvalidSignatures = 1
「レジストリエディタ」を閉じます。

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.KEA」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください