ウィルス名:Trojan.FakeAv.QF
主な症状
- 起動時に"Total Security"という偽のアンチウィルス画面が実行。勝手に”みせかけの”スキャンを実行。
- 新しいプロセスが次のメッセージとともに強制停止。"Application cannot be executed. The file <ファイル名> is infected. Please activate your antivirus software.(アプリケーションは実行されません。このファイルは感染しています。アンチウィルスソフトウェアを有効にしてください)"
- ランダムな8桁の数字(例えば11705314)のプロセスで活動
- 次のファイルを作成"c:\Documents and Settings\All Users\Application Data\[あ]\[あ].exe" ( [あ]の部分はランダムな8桁の数値)
- デスクトップショートカットやスタートメニュがランダムに追加
詳細
このプログラムは"Total Security 2009"というBitDefender製品名を語ったマルウェアです。 ホームページ閲覧時などで、「このコンピュータは感染しています」や「今すぐウィルススキャン」などのダイアログ経由でダウンロードした トロイの木馬ソフト経由でインストールされることが多いです。
最初の起動時にに自身を c:\Documents and Settings\All Users\Application Data\[あ]\[あ].exe にコピーして、オリジナルの自分を削除するバッチプログラムを実行します。 レジストリキー HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\[あ] を作成し、システム起動時に実行されるようにします。
起動時にみせかけのスキャンを開始して、 システムの状況にかかわらず、ユーザにいつも同じ検出画面を表示、 ユーザに感染ファイルを駆除するように注意を求めてきます。他にも「ファイアーウォールが危険」とのような警告を表示するものなど亜種も報告されています。
対処方法
BitDefender製品で検出、駆除できます