TROJ_FAKEAV.BWT
Microsoft: Trojan:Win32/Cefyns.gen!A; Kaspersky: Trojan-Dropper.Win32.Agent.dtpg
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木马型
破壊活动の有无:
なし
暗号化:
はい
感染報告の有無 :
はい
? 概要
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、偽のセキュリティソフトを装った不正活動をします。マルウェアは、感染したコンピュータのタスクトレイにポップアップメッセージを表示し、(このマルウェアとは別の)マルウェアに感染しているように見せかける 偽の感染通知 をユーザに知らせます。この偽の感染通知には、「完全バージョンがないとマルウェアの削除が行えません」等の表示があり、ユーザは、偽セキュリティソフトの完全バージョン を購入させられることになります。 マルウェアは、偽のセキュリティソフトを装った不正活动をします。マルウェアは、偽の警告およびスキャン结果を表示し、また、自身をインストールする际、他のアプリケーションもインストールします。このインストールされたアプリケーションもこのマルウェアとして検出されます。 マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン结果を表示します。スキャンが完了すると、ユーザに製品の购入を要求します。ユーザが偽の製品を购入しようとすると、ユーザを特定の奥别产サイトに诱导してクレジットカード番号といった个人情报を要求します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\autorun.exe - also detected as TROJ_FAKEAV.BWT
- %User Profile%\Application Data\printer.exe - also detected as TROJ_FAKEAV.BWT
- %User Startup%\findfast.exe - also detected as TROJ_FAKEAV.BWT
- %Windows%\shell.exe - also detected as TROJ_FAKEAV.BWT
- %System%\printer.exe - also detected as TROJ_FAKEAV.BWT
- %System%\spoolvs.exe - also detected as TROJ_FAKEAV.BWT
- %User Temp%\5.bat
- %User Temp%\6.bat
- %System%\drivers\etc\st.im
- %Program Files%\altcmd\altcmd.inf
- %Program Files%\altcmd\altcmd32.dll
- %Program Files%\altcmd\uninstall.bat
- %System%\wowfx.dll
- %System%\npad.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %User Startup%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows 2000、XP、Server 2003の場合、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup " です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\{malware file name}.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
マルウェアは、以下のフォルダを作成します。
- %System%\append.dll
- %System%\xlib254.dll
- %Program Files%\altcmd
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
自动実行方法
マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Spoolsv = "%System%\spoolvs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Printer = "%System%\printer.exe"
マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe %WINDOWS%\shell.exe
(註:変更前の上记レジストリ値は、「贰虫辫濒辞谤别谤.别虫别」となります。)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
altcompare
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{2A8D06B4-1B40-009F-E531-629A59080F43}
マルウェアは、インストールの过程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableRegistryTools = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = 1
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
ShowedCheckBrowser = Yes
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Check_Associations = No
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Enable Browser Extensions = yes
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
EnableBalloonTips = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoControlPanel = 1
HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\Windows Update
NoAutoUpdate = 1
HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\Windows Update
NoWindowsUpdate = 1
HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\WindowsUpdate\
AU
AutoUpdate = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{2A8D06B4-1B40-009F-E531-629A59080F43}\InprocServer32
@ = %Program Files%\altcmd\altcmd32.dll
マルウェアは、以下のレジストリ値を作成し、奥颈苍诲辞飞蝉のファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%User Profile%\Application Data\printer.exe = %User Profile%\Application Data\printer.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\printer.exe = %System%\printer.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\spoolvs.exe = "%System%\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%Windows%\shell.exe = %Windows%\shell.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%User Startup%\findfast.exe = %User Startup%\findfast.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\autorun.exe = %System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\autorun.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%Windows%\system32\winav.exe = %Windows%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Application Data\printer.exe = %User Profile%\Application Data\printer.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\printer.exe = "%System%\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\spoolvs.exe = "%System%\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\shell.exe = %Windows%\shell.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Startup%\findfast.exe = %User Startup%\findfast.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\autorun.exe = %System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\autorun.exe:*:Enabled:@xpsp2res.dll,-22019
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\system32\winav.exe = %Windows%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019
偽セキュリティソフト型不正プログラムによる不正活动
マルウェアは、偽のセキュリティソフトを装った不正活動をします。マルウェアは、感染したコンピュータのタスクトレイにポップアップメッセージを表示し、(このマルウェアとは別の)マルウェアに感染しているように見せかける 偽の感染通知 をユーザに知らせます。この偽の感染通知には、「完全バージョンがないとマルウェアの削除が行えません」等の表示があり、ユーザは、偽セキュリティソフトの完全バージョン を購入させられることになります。
マルウェアは、偽のセキュリティソフトを装った不正活动をします。マルウェアは、偽の警告およびスキャン结果を表示し、また、自身をインストールする际、他のアプリケーションもインストールします。このインストールされたアプリケーションもこのマルウェアとして検出されます。
マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン结果を表示します。スキャンが完了すると、ユーザに製品の购入を要求します。ユーザが偽の製品を购入しようとすると、ユーザを特定の奥别产サイトに诱导してクレジットカード番号といった个人情报を要求します。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
「罢搁翱闯冲贵础碍贰础痴.叠奥罢」で検出したファイル名を确认し、そのファイルを终了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、をご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない场合、次の手顺にお进みください。
手順 3
レジストリエディタの机能を修正します。
手順 4
変更されたレジストリ値を修正します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Shell = Explorer.exe %WINDOWS%\shell.exe
To: Explorer.exe
- From: Shell = Explorer.exe %WINDOWS%\shell.exe
手順 5
以下のフォルダを検索し削除します。
手順 6
以下のファイルを検索し削除します。
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.BWT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。