McAfee for Small Businesses

ウイルス名 危険度 W32/FunCash!worm 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6660 対応定義ファイル (現在必要とされるバージョン) 6784　（現在7083) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Microsoft - Backdoor: Win32/Joanap.A Kaspersky - Worm.Win32.Agent.age Symantec - Backdoor.Trojan Fortinet - W32/Agent.AGE! Worm 情報掲載日 2012/08/07 発見日（米国日付） 2012/08/01 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/21 RDN/Generic ... 05/21 RDN/Generic ... 05/21 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7083  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W32/FunCash!wormはネットワーク共有を介して拡散するワームです。悪質なDLLをsystem32にドロップ（作成）し、追加のトロイの木馬や悪質なソフトウェアを乗っ取ったマシンにインストールするのに使われる可能性があります。 ・さらに、バックドア活動を仕掛け、個人情報やクレジットカードの情報を盗み出す可能性があります。 ・実行時、システムプロセスであるsvchost.exeに自身を挿入し、以下のIPアドレスに接続します。 63.149.[削除].98 through the remote port 110. (POP3 - Post Office Protocol - Version 3) 64.71.[削除].61 through the remote port 700. ・また、以下の場所に以下のファイルをドロップします。 %windir%\system32\config\systemprofile\Local Settings\Application Data\VMware\hgfs.dat %windir%\system32\KB25879.dat %windir%\system32\mssscardprv.ax %windir%\system32\scardprv.dll %windir%\system32\Wmmvsvc.dll [リムーバブルドライブ]:\RECYCLER\ S-0-3-61-3331176502-7725285861-041708554-4464\[ランダムな名前].cpl [リムーバブルドライブ]:\Autorun.inf Copy of Shortcut (1) ・上記のショートカットにより、コントロールパネルへのリダイレクトが作成されます。 ・AutoRun.infファイルはW32/FunCash!wormの実行ファイルを指しており、自動実行機能をサポートするマシンからリムーバブルドライブやネットワーク接続されたドライブがアクセスされると、W32/FunCash!wormが自動的に起動します。 ・リムーバブルドライブにドロップされるautorun.infファイルの内容は以下のとおりです。 [Autorun] RmN ・以下の場所にフォルダを作成します。 1. :[リムーバブルドライブ]:\RECYCLER 2. :[リムーバブルドライブ]:\RECYCLER\S-0-3-61-3331176502-7725285861-041708554-4464\ ・以下のレジストリキーが追加されます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Security HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Security HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum ・また、以下のレジストリ値がシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\SCardPrv: 'SCardPrv' HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\Wmmvsvc: 'Wmmvsvc' HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\Control\*NewlyCreated*: 0x00000000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\Control\ActiveService: "SCardPrv" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\ Service = "SCardPrv" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\ Legacy = 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\ ConfigFlags = 0x00000000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\ Class = "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\ ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\ DeviceDesc = "SmartCard Protector" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\ NextInstance = 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\Control\*NewlyCreated*: 0x00000000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\Control\ActiveService: "Wmmvsvc" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\ Service = "Wmmvsvc" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\ Legacy = "0x00000001" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\ ConfigFlags = 0x00000000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\ Class = "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\DeviceDesc = "Windows Media Management Driver Extensions" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\NextInstance = "0x00000001" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum\0: "Root\LEGACY_SCARDPRV\0000" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum\Count: 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum\NextInstance: 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Parameters\ ServiceDll: "%SystemRoot%\system32\scardprv.dll" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ Type = 0x00000020 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ Start = 0x00000002 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ ErrorControl = 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ ImagePath = "%SystemRoot%\system32\svchost.exe -k SCardPrv" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ DisplayName = "SmartCard Protector" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ ObjectName = "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ Description = "Manages and controls access to a smart card inserted into a smart card reader attached to the computer and protect from others. " HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum\0: "Root\LEGACY_WMMVSVC\0000" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum\Count: 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum\NextInstance: 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Parameters\ServiceDll: "%SystemRoot%\system32\Wmmvsvc.dll" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ Type = 0x00000020 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ Start = 0x00000002 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ ErrorControl = 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ ImagePath = "%SystemRoot%\system32\svchost.exe -k Wmmvsvc" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ DisplayName = "Windows Media Management Driver Extensions" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ ObjectName = "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ Description = "Provides Windows Media management information to and from drivers. ・以下のレジストリ項目により、システムが起動するたびにW32/FunCash!wormが実行されるようにします。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\ ImagePath = "%SystemRoot%\system32\svchost.exe -k Wmmvsvc" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\ ImagePath = "%SystemRoot%\system32\svchost.exe -k SCardPrv" ・以下のレジストリ値が改変されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent\LastTaskRun: DB 07 0B 00 02 00 16 00 08 00 01 00 01 00 00 00 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent\LastTaskRun: DC 07 07 00 04 00 1A 00 12 00 01 00 01 00 00 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000012 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000014 HKEY_USER\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData: "%systemDrive%:\Documents and Settings\NetworkService\Local Settings\Application Data" HKEY_USER\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData: "%windir%\system32\config\systemprofile\Local Settings\Application Data" 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記のファイルおよびレジストリキーが存在します。 ・上記のネットワーク接続が存在します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。 駆除方法 TOPへ戻る 全ての Windows ユーザー 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます 回復コンソールでクリーンなMBRに修復してください。 Windows XPの場合 CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。 「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。 対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。 マスタ ブート レコードを修復するfixmbrコマンドを発行します。 画面上の指示に従ってください。 CD-ROM ドライブからCDを取り出しリセットしてください。 Windows Vista および 7 の場合 CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。 「コンピュータを修復する」をクリックします。 [システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。 マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。 画面上の指示に従ってください。 CD-ROM ドライブからCDを取り出しリセットしてください。