Trend Micro Security

TROJ_FAKEAV.WKA

2011年1月13日
 解析者: Michael Cabel   
 別名:

Rogue:Win32/FakeSpypro (Microsoft)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

  詳細

ファイルサイズ 不定
タイプ PE
メモリ常駐 はい
発見日 2011年1月13日
ペイロード ファイルのダウンロード, ウインドウの表示

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://{BLOCKED}ogle.info/tre/lena.exe/{random characters}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random value} = %User Temp%\{random folder}\{random file name}.exe

他のシステム変更

マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = no

(註:変更前の上記レジストリ値は、「yes」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = 1

(註:変更前の上記レジストリ値は、「0」となります。)

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\yr87fk3d2dnszapq2

マルウェアは、インストールの過程で以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
Enabled = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
RunInvalidSignatures = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = http={BLOCKED}.{BLOCKED}.0.1:8075

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyOverride =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = .exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1

偽セキュリティソフト型不正プログラムによる不正活動

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

マルウェアは、以下のWebサイトにアクセスし、自身のコンポーネントファイルをダウンロードします。

  • http://{BLOCKED}ogle.info/tre/lena.exe/wHe46ed9e9
    V0100f060006R00000000102Ta9406b4e203L656e2d75730000000000
  • http://{BLOCKED}ogle.info/tre/lena.exe/xHe46ed9e9
    V0100f060006R00000000102Ta9406b42203l0409329
  • http://{BLOCKED}ogle.info/tre/lena.exe/yHe46ed9e9
    V0100f060006R00000000102Ta9406b42203l04093020

ダウンロードされたファイルは、トレンドマイクロ製品では、このマルウェアとして検出されます。

ダウンロードされたファイルは、以下のように保存されます。

  • %System Root%\{random file name}.exe

マルウェアは、ダウンロードしたファイルを実行します。

ダウンロードされたファイルは、以下のリモートサイトに接続し、他の不正なファイルをダウンロードします。

  • http://{BLOCKED}.192.250/user/xl3.php
  • http://{BLOCKED}.192.250/user/up/xl3.dat
  • http://{BLOCKED}ogle.info/tre/lena.exe/xHe46ed9e9
    V0100f060006R00000000102Ta9406b42203l0409328

ダウンロードされたファイルは、トレンドマイクロ製品では、このマルウェアとして検出されます。

ダウンロードされたファイルは、以下のように保存されます。

  • %User Temp%\{random folder}\{random file name}.exe

マルウェアは、ダウンロードしたファイルを実行します。

マルウェアは、以下のWebサイトにアクセスし、偽の検索結果を表示します。

  • http://{BLOCKED}resh.com/check?pgid=8
  • http://{BLOCKED}resh.com/percer.php?login=ODMuMA==

マルウェアは、以下の Graphical User Interface(GUI)を表示します。


マルウェアは、以下のリモートサイトにアクセスし、偽セキュリティソフトの完全版の購入を促します。

  • http://{BLOCKED}resh.com/shop?abc=cGdpZD04JnI9ODMuMA==

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: 7.766.11
VSAPI パターンリリース日: 2011年1月13日
VSAPI パターンリリース日: 1/13/2011 12:00:00 AM
VSAPI OPR パターンバージョン 7.767.00
VSAPI OPR パターンリリース日 2011年1月13日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_FAKEAV.WKA」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random value} = %User Temp%\{random folder}\{random file name}.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    • EnabledV8 = 0
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    • Enabled = 0
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
    • RunInvalidSignatures = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • ProxyServer = http:\\{BLOCKED}.{BLOCKED}.0.1:8075
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • ProxyOverride = <local>
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
    • LowRiskFileTypes = .exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
    • SaveZoneInformation = 1

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
    • From: CheckExeSignatures = no
      To: yes
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • From: ProxyEnable = 1
      To: 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
    • From: ProxyEnable = 1
      To: 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings
    • From: ProxyEnable = 1
      To: 0
  • In HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings
    • From: ProxyEnable = 1
      To: 0

手順 6

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software
    • yr87fk3d2dnszapq2

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_FAKEAV.WKA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください