TROJ_FAKEAV.THK
Windows 2000, XP, Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\hotfix.exe
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = %Application Data%\hotfix.exe
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnZoneCrossing = 0
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect = 0
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnonBadCertRecving = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = 48
作成活動
マルウェアは、以下のファイルを作成します。
- %Windows%\Tasks\At1.job - scheduled task pointing to a URL
- %Windows%\Tasks\At2.job - scheduled task pointing to a URL
- %Windows%\Tasks\At3.job - scheduled task pointing to a URL
- %Windows%\Tasks\At4.job - scheduled task pointing to a URL
- %Windows%\Tasks\At5.job - scheduled task pointing to a URL
- %Windows%\Tasks\At6.job - scheduled task pointing to a URL
- %Windows%\Tasks\At7.job - scheduled task pointing to a URL
- %Windows%\Tasks\At8.job - scheduled task pointing to a URL
- %Windows%\Tasks\At9.job - scheduled task pointing to a URL
- %Windows%\Tasks\At10.job - scheduled task pointing to a URL
- %Windows%\Tasks\At11.job - scheduled task pointing to a URL
- %Windows%\Tasks\At12.job - scheduled task pointing to a URL
- %Windows%\Tasks\At13.job - scheduled task pointing to a URL
- %Windows%\Tasks\At14.job - scheduled task pointing to a URL
- %Windows%\Tasks\At15.job - scheduled task pointing to a URL
- %Windows%\Tasks\At16.job - scheduled task pointing to a URL
- %Windows%\Tasks\At17.job - scheduled task pointing to a URL
- %Windows%\Tasks\At18.job - scheduled task pointing to a URL
- %Windows%\Tasks\At19.job - scheduled task pointing to a URL
- %Windows%\Tasks\At20.job - scheduled task pointing to a URL
- %Windows%\Tasks\At21.job - scheduled task pointing to a URL
- %Windows%\Tasks\At22.job - scheduled task pointing to a URL
- %Windows%\Tasks\At23.job - scheduled task pointing to a URL
- %Windows%\Tasks\At24.job - scheduled task pointing to a URL
- %Desktop%\ThinkPoint.lnk - shortcut file pointing to a copy of the malware
- %Start Menu%\Programs\ThinkPoint.lnk - shortcut file pointing to a copy of the malware
- %Application Data%\completescan - non-malicious file
- %Application Data%\install - non-malicious file
- %Application Data%\start - non-malicious file
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %Desktop%フォルダは、Windows 98 および MEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\デスクトップ" です。 Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\デスクトップ"、Windows 2000、XP、Server 2003の場合は "C:\Documents and Settings\<ユーザ名>\デスクトップ" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
その他
マルウェアは、実行後、自身を削除します。
偽セキュリティソフト型不正プログラムによる不正活動
マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。
マルウェアは、バックドアの機能を備えていません。
作成されたタスクスケジューラーのタスクオブジェクトファイル(拡張子JOB)は、以下のWebサイトにアクセスします。
- http://<省略>arsshow.com/jhkhj.php?kxdkhjk=
マルウェアは、上記URLへアクセスすると、無害な画像のみを表示します。マルウェアが他の不正なファイルをダウンロードするには、追加のパラメータが必要になります。マルウェアは、実行されると、以下の Graphical User Interface(GUI)を表示します。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TROJ_FAKEAV.THK」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = %Application Data%\hotfix.exe
- Shell = %Application Data%\hotfix.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnOnZoneCrossing = 0
- WarnOnZoneCrossing = 0
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnOnPostRedirect = 0
- WarnOnPostRedirect = 0
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnonBadCertRecving = 0
- WarnonBadCertRecving = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
- AtTaskMaxHours = 48
- AtTaskMaxHours = 48
手順 4
以下のファイルを検索し削除します。
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.THK」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください