Trend Micro Security

TROJ_FAKEAV.JHH

2013年6月10日
 更新者 : Nikko Tamana
 別名:

Troj/FakeAV-FWY (Sophos), W32/Kelihos.BBB!tr (Fortinet), Backdoor.Win32.Kelihos (Ikarus), Rogue:Win32/Winwebsec (Microsoft), Win32/Adware.SystemSecurity.AL application (NOD32), Lookslike.Win32.Winwebsec.p (v) (Sunbelt)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 503,296 bytes
タイプ EXE
発見日 2012年10月9日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • All Users' %User Profile%\Application Data\{random name}
  • %Start Menu%\Programs\System Progressive Protection

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)

マルウェアは、以下のファイルを作成します。

  • All Users' %User Profile%\Application Data\{random name}\{random name}
  • All Users' %User Profile%\Application Data\{random name}\{random name}.ico
  • %Desktop%\System Progressive Protection.lnk
  • %Start Menu%\Programs\System Progressive Protection\System Progressive Protection.lnk

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\デスクトップ" です。. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • All Users' %User Profile%\Application Data\{random name}\{random name}.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random name} = "All Users' %User Profile%\Application Data\{random name}\{random name}.exe"

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\{random name}
(Default) = "1"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}3.4.225.41