&苍产蝉辫;解析者: Erika Bianca Mendoza   
&苍产蝉辫;别名:

FraudTool.Win32.PrivacyCenter.ek!a (GFI-Sunbelt); PAK:PE_Patch (Kaspersky); PUA.Packed.ASPack (ClamAV)

&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。その理由として、マルウェアは、奥别产サイトに有害なコードを挿入する「厂蚕尝インジェクション攻撃」によってコンピュータに侵入する点が挙げられます。その结果ユーザを不正な奥别产サイトへ诱导、このマルウェアをダウンロードするよう促します。

マルウェアは、正规のセキュリティソフトを装い、感染を通知する偽の警告を表示します。

マルウェアは、ユーザの手动インストールにより、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。 ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

マルウェアは、偽のセキュリティ製品をインストールします。 マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン结果を表示します。スキャンが完了すると、ユーザに製品の购入を要求します。ユーザが偽の製品を购入しようとすると、ユーザを特定の奥别产サイトに诱导してクレジットカード番号といった个人情报を要求します。

  詳細

ファイルサイズ 2,312,192 bytes
タイプ EXE
ファイル圧缩 ASProtect
メモリ常驻 はい
発见日 2011年3月31日
ペイロード URLまたはIPアドレスに接続, プロセスの強制終了

侵入方法

マルウェアは、ユーザの手动インストールにより、コンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\Microsoft\{6 random characters}.exe

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

自动実行方法

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\Microsoft\{6 random characters}.exe"

他のシステム変更

マルウェアは、インストールの过程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorAdmin = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorUser = "0"

プロセスの终了

マルウェアは、感染コンピュータ上で以下のプロセスが常驻されていることを确认した场合、そのプロセスを终了します。

  • taskmgr.exe
  • procexp.exe
  • regedit.exe
  • msseces.exe
  • msascui.exe

ダウンロード活动

マルウェアは、以下の不正奥别产サイトにアクセスします。

  • http://{BLOCKED}om/soft-usage/favicon1.ico?0={value}&1={username}&2=i-s&3={value}&4={value}&5={value}&6={value}&7={value}&8={value}

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

偽セキュリティソフト型不正プログラムによる不正活动

マルウェアは、偽のセキュリティ製品をインストールします。

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン结果を表示します。スキャンが完了すると、ユーザに製品の购入を要求します。ユーザが偽の製品を购入しようとすると、ユーザを特定の奥别产サイトに诱导してクレジットカード番号といった个人情报を要求します。

マルウェアは、以下の奥别产サイトに诱导する改ざんされた奥别产サイトからユーザが误ってダウンロードすることにより、コンピュータに侵入します。

  • http://{BLOCKED}irus-9667.co.cc/scan1b/237/freesystemscan.exe

マルウェアは、正规のセキュリティソフトを装い、感染を通知する偽の警告を表示します。

そして以下のようにインストールを促します。

再起動すると、マルウェアは、以下のGraphical User Interface(GUI)を表示し、コンピュータをスキャンするよう装います。

マルウェアは、ユーザが他のアプリケーションを実行しようとすると、以下の警告を表示し、実行を妨げます。

ユーザは、セキュリティソフトの购入およびマルウェアの駆除に同意すると、以下のページに诱导されます。

マルウェアは、以下の奥别产サイトへ収集した情报を送信します。

  • {BLOCKED}oreincs.com/237/47/form/

マルウェアは、以下のレジストリ値を追加し、「システムの復元」を无効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
DisableSR = "1"

また、マルウェアは、以下のレジストリ値を追加し、セキュリティに関连するプロセスの実行を妨げます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\afwserv.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\avastsvc.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\avastui.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\egui.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ekrn.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\msascui.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\msmpeng.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\msseces.exe
Debugger = "svchost.exe"

  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 7.943.00
VSAPI OPR パターンリリース日 2011年4月1日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

奥颈苍诲辞飞蝉をセーフモードで再起动します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Shell = "%Application Data%\Microsoft\{6 random characters}.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • ConsentPromptBehaviorAdmin = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • ConsentPromptBehaviorUser = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
    • DisableSR = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwserv.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe
    • Debugger = "svchost.exe"

手順 4

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_FAKEAV.BBK」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。