【マルウェア】Vista Internet Security 2010【備忘録】

最近のインチキウイルス対策ソフトを装ったマルウェアはほんとに良く出来てる。
何故か日本語の解説ページが少なかったからメモ程度に備忘録。

掲題のウイルス対策ソフトを装ったマルウェア。
これまたしつっっこいくらいに出てくる。

プロセス名を確認すると、av.exe

タスクマネージャから停止するのは簡単だけど、すぐまた出てくる。
んでもって%UserProfile%AppData\Local\av.exe
を削除すると、.exe系や、フォルダオープンをすると関連付けを求められる・・・ってことは?

ってなわけで、

exefix.jpg

としてレジストリ修正ファイル作成(右クリック保存でファイルをどうぞ)。中身は以下の通り。

[-HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]
[-HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[-HKEY_CLASSES_ROOT\secfile]

実行すると改変されたレジストリが修正されるので、以下のファイルを削除
%UserProfile%\AppData\Local\av.exe
%UserProfile%\AppData\Local\6L0id5G
↑2行目のファイルはランダムに変更になるので適当に。