製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
W32/FunCash!worm
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6660
対応定義ファイル
(現在必要とされるバージョン)
6784 (現在7593)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Microsoft - Backdoor: Win32/Joanap.A Kaspersky - Worm.Win32.Agent.age Symantec - Backdoor.Trojan Fortinet - W32/Agent.AGE! Worm
情報掲載日2012/08/07
発見日(米国日付)2012/08/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/FunCash!wormはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・W32/FunCash!wormはネットワーク共有を介して拡散するワームです。悪質なDLLをsystem32にドロップ(作成)し、追加のトロイの木馬や悪質なソフトウェアを乗っ取ったマシンにインストールするのに使われる可能性があります。

・さらに、バックドア活動を仕掛け、個人情報やクレジットカードの情報を盗み出す可能性があります。

・実行時、システムプロセスであるsvchost.exeに自身を挿入し、以下のIPアドレスに接続します。

  • 63.149.[削除].98 through the remote port 110. (POP3 - Post Office Protocol - Version 3)
  • 64.71.[削除].61 through the remote port 700.

・また、以下の場所に以下のファイルをドロップします。

  • %windir%\system32\config\systemprofile\Local Settings\Application Data\VMware\hgfs.dat
  • %windir%\system32\KB25879.dat
  • %windir%\system32\mssscardprv.ax
  • %windir%\system32\scardprv.dll
  • %windir%\system32\Wmmvsvc.dll
  • [リムーバブルドライブ]:\RECYCLER\ S-0-3-61-3331176502-7725285861-041708554-4464\[ランダムな名前].cpl
  • [リムーバブルドライブ]:\Autorun.inf
  • Copy of Shortcut (1)

・上記のショートカットにより、コントロールパネルへのリダイレクトが作成されます。

・AutoRun.infファイルはW32/FunCash!wormの実行ファイルを指しており、自動実行機能をサポートするマシンからリムーバブルドライブやネットワーク接続されたドライブがアクセスされると、W32/FunCash!wormが自動的に起動します。

・リムーバブルドライブにドロップされるautorun.infファイルの内容は以下のとおりです。

[Autorun]

RmN

・以下の場所にフォルダを作成します。

1. :[リムーバブルドライブ]:\RECYCLER

2. :[リムーバブルドライブ]:\RECYCLER\S-0-3-61-3331176502-7725285861-041708554-4464\

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Parameters
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Parameters
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum

・また、以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\SCardPrv: 'SCardPrv'
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\Wmmvsvc: 'Wmmvsvc'
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\Control\*NewlyCreated*: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\Control\ActiveService: "SCardPrv"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\
    Service = "SCardPrv"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\
    Legacy = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\
    ConfigFlags = 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\
    Class = "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\
    ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\0000\
    DeviceDesc = "SmartCard Protector"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDPRV\
    NextInstance = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\Control\*NewlyCreated*: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\Control\ActiveService: "Wmmvsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\
    Service = "Wmmvsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\
    Legacy = "0x00000001"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\
    ConfigFlags = 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\
    Class = "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\0000\DeviceDesc = "Windows Media Management Driver Extensions"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMMVSVC\NextInstance = "0x00000001"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum\0: "Root\LEGACY_SCARDPRV\0000"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum\Count: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Enum\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\Parameters\
    ServiceDll: "%SystemRoot%\system32\scardprv.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    Type = 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    Start = 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    ErrorControl = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    ImagePath = "%SystemRoot%\system32\svchost.exe -k SCardPrv"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    DisplayName = "SmartCard Protector"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    ObjectName = "LocalSystem"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    Description = "Manages and controls access to a smart card inserted into a smart card reader attached to the computer and protect from others. "
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum\0: "Root\LEGACY_WMMVSVC\0000"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum\Count: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Enum\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\Parameters\ServiceDll: "%SystemRoot%\system32\Wmmvsvc.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    Type = 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    Start = 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    ErrorControl = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    ImagePath = "%SystemRoot%\system32\svchost.exe -k Wmmvsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    DisplayName = "Windows Media Management Driver Extensions"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    ObjectName = "LocalSystem"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    Description = "Provides Windows Media management information to and from drivers.

・以下のレジストリ項目により、システムが起動するたびにW32/FunCash!wormが実行されるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmmvsvc\
    ImagePath = "%SystemRoot%\system32\svchost.exe -k Wmmvsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardPrv\
    ImagePath = "%SystemRoot%\system32\svchost.exe -k SCardPrv"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent\LastTaskRun: DB 07 0B 00 02 00 16 00 08 00 01 00 01 00 00 00
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent\LastTaskRun: DC 07 07 00 04 00 1A 00 12 00 01 00 01 00 00 00
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000012
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000014
  • HKEY_USER\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData: "%systemDrive%:\Documents and Settings\NetworkService\Local Settings\Application Data"
  • HKEY_USER\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData: "%windir%\system32\config\systemprofile\Local Settings\Application Data"

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

・上記のネットワーク接続が存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。