偽/Fakeアンチウイルス「System Tool」について

今日の一番面白いマルウェア発見＠サンプルメールを書きます。
本日のメール添付の中に本件の偽AVのトロイダウンローダーが発見し、そのトロイが実行されたら「System Tool」という偽/FaveAVマルウェア・ソフトがインストールされてしまいます。感染されたら下記の情報が出ます↓

■インストーラー
トロイダウンローダーのプログラムにより、本件Fakeアンチウイルスのインストーラーファイル名が変ってくる、一番多いなのは「fBbEo00902.exe、など」です。
インストーラがインストールされたら下記のショットカット・アイコンが出ます↓


■GUIの不具合

クリックされたらGUIが出ます↓

1回プログラムを閉じたらPCのウォールペーパーが変ってきちゃった↓


時々このポップアップが出ます↓


中身は下記のファイルとregistryデータが発見されます↓

■ファイルシステム

追加フォルダー C:\Documents and Settings\All Users\Application Data\fBbEo00902
追加ファイル fBbEo00902.exe"="17:08 27/10/10 558144 bytes
追加ファイル fBbEo00902"="17:20 27/10/10 48 bytes
追加ファイル folder C:\Documents and Settings\{username}\Desktop
追加ファイル System Tool 2011.lnk"="17:20 27/10/10 1054 bytes
追加フォルダー C:\Documents and Settings\{username}\Start Menu\Programs\System Tool
追加ファイル System Tool 2011.lnk"="17:20 27/10/10 2012 bytes

■変ったレジストリー情報

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\System Tool2011]
"DisplayIcon"="'C:\Documents and Settings\All Users\Application Data\fBbEo00902\fBbEo00902.exe,0'"
"UninstallString"="'C:\Documents and Settings\{username}\Start Menu\Programs\System Tool\System Tool 2011.lnk'"
"ShortcutPath"="'C:\Documents and Settings\{username}\Start Menu\Programs\System Tool\System Tool 2011.lnk'"
"DisplayName"="'System Tool2011'"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"fBbEo00902"="'C:\Documents and Settings\All Users\Application Data\fBbEo00902\fBbEo00902.exe'"

---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所