ログイン
ようこそ、
さん
Language:
日本語
English
Deutsch
Français
Español
Italiano
Nederlands
Português
Türkçe
Русский
日本語
简体中文
繁體中文
한국어
弊社と弊社製品に関する詳細は、
グローバルサイト
でご覧ください。
個人向け
ビジネス(企業・法人向け)
サポート
お問い合わせ
Search
まとめ
すべての説明
統計
ウイルス
TR/FakeAV.aid.1
発見日:
25/05/2011
タイプ
トロイの木馬
感染報告有り
はい
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
低~中
スタティック・ファイル
はい
VDFファージョン:
7.11.08.140
- 2011年5月25日水曜日
IVDFファージョン:
7.11.08.140
- 2011年5月25日水曜日
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky: Trojan.Win32.FakeAV.dcoy
• Sophos: Mal/FakeAV-JR
• Microsoft: Rogue:Win32/FakeRean
プラットフォーム/OS:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows 7
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
起動後以下の情報が表示されます:
ファイル
それ自体を以下の場所にコピーします。
• %HOME%\Local Settings\Application Data\
%ランダムな文字列%
.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
–
%TEMPDIR%
\
%ランダムな文字列%
– %ALLUSERSPROFILE%\Application Data\
%ランダムな文字列%
– %HOME%\Local Settings\Application Data\
%ランダムな文字列%
–
%TEMPDIR%
\
%ランダムな文字列%
– %HOME%\Templates\
%ランダムな文字列%
レジストリ
以下のレジストリ・キーが追加されます:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile]
• "DoNotAllowExceptions"=dword:00000000
• "EnableFirewall"=dword:00000000
• "DisableNotifications"=dword:00000001
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile]
• "EnableFirewall"=dword:00000000
• "DoNotAllowExceptions"=dword:00000000
• "DisableNotifications"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "ctfmon.exe"="
%SYSDIR%
\ctfmon.exe"
– [HKCR\.exe\shell\open\command]
• "(Default)"="\"%HOME%\Local Settings\Application Data\\
%ランダムな文字列%
.exe\" -a \"%1\" %*"
• "IsolatedCommand"="\"%1\" %*"
– [HKCR\exefile\shell\open\command]
• "(Default)"="\"%HOME%\Local Settings\Application Data\\
%ランダムな文字列%
.exe\" -a \"%1\" %*"
• "IsolatedCommand"="\"%1\" %*"
– [HKCR\exefile\shell\runas\command]
• "(Default)"="\"%1\" %*"
• "IsolatedCommand"="\"%1\" %*"
– [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\
command]
• "(Default)"="\"%HOME%\Local Settings\Application Data\\
%ランダムな文字列%
.exe\" -a \"
%PROGRAM FILES%
\Intern"
以下のレジストリ・キーは変更されます:
– [HKLM\SOFTWARE\Microsoft\Security Center]
新しい値
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "FirewallOverride"=dword:00000001
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
挿入(Injection)
– プロセスにリモートスレッドとして挿入します。
プロセス名:|以下のすべて:
• iexplore.exe
その他
インターネット リソースへのアクセス :
• **********yziriryvi.com/
%複数の
説明の挿入者 Andrei Ilie の 2011年8月25日木曜日
説明の更新者 Andrei Ilie の 2011年8月25日木曜日
戻る
.
.
.
.
マイアカウント
https
://
このウィンドウは暗号化されています。
ログイン
パスワードを忘れた場合
パスワードのリセット
マイプロフィール
製品
支払い履歴
通知
パスワードのリセット
お問い合わせ
ログアウト
