TROJ_FAKEAV.BBK

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。その理由として、マルウェアは、Webサイトに有害なコードを挿入する「SQLインジェクション攻撃」によってコンピュータに侵入する点が挙げられます。その結果ユーザを不正なWebサイトへ誘導、このマルウェアをダウンロードするよう促します。

マルウェアは、正規のセキュリティソフトを装い、感染を通知する偽の警告を表示します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、偽のセキュリティ製品をインストールします。 マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

侵入方法

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\Microsoft\{6 random characters}.exe

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\Microsoft\{6 random characters}.exe"

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorAdmin = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorUser = "0"

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• taskmgr.exe
• procexp.exe
• regedit.exe
• msseces.exe
• msascui.exe

ダウンロード活動

マルウェアは、以下の不正Webサイトにアクセスします。

• http://{BLOCKED}om/soft-usage/favicon.ico?0={value}&1={username}&2=i-s&3={value}&4={value}&5={value}&6={value}&7={value}&8={value}

ただし、情報公開日現在、このWebサイトにはアクセスできません。

偽セキュリティソフト型不正プログラムによる不正活動

マルウェアは、偽のセキュリティ製品をインストールします。

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

マルウェアは、以下のWebサイトに誘導する改ざんされたWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://{BLOCKED}irus-9667.co.cc/scan1b/237/freesystemscan.exe

マルウェアは、正規のセキュリティソフトを装い、感染を通知する偽の警告を表示します。

そして以下のようにインストールを促します。

再起動すると、マルウェアは、以下のGraphical User Interface（GUI）を表示し、コンピュータをスキャンするよう装います。

マルウェアは、ユーザが他のアプリケーションを実行しようとすると、以下の警告を表示し、実行を妨げます。

ユーザは、セキュリティソフトの購入およびマルウェアの駆除に同意すると、以下のページに誘導されます。

マルウェアは、以下のWebサイトへ収集した情報を送信します。

• {BLOCKED}oreincs.com/237/47/form/

マルウェアは、以下のレジストリ値を追加し、「システムの復元」を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
DisableSR = "1"

また、マルウェアは、以下のレジストリ値を追加し、セキュリティに関連するプロセスの実行を妨げます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\afwserv.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\avastsvc.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\avastui.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\egui.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ekrn.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\msascui.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\msmpeng.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\msseces.exe
Debugger = "svchost.exe"