製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
W32/Fightrub@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4394
対応定義ファイル
(現在必要とされるバージョン)
4394 (現在7401)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2004/09/17
発見日(米国日付)2004/09/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Fightrub@MMはピアツーピアファイル共有ネットワークおよび電子メールを介して繁殖します。

・動作すると、以下の偽のメッセージを表示します。

・W32/Fightrub@MMはC\Sysnetフォルダを作成し、以下のファイル名でこのフォルダに自身をコピーします。

  • Ruby13.exe
  • Nero Burning ROM v6.3 Ultra - Enterprise edition key.exe
  • Counter-Strike, Condition Zero - Activation Key.exe
  • icqbomber.exe
  • BurnDvds.exe
  • Dvd Ripper.exe
  • Dvd To Vcd.exe
  • Easy Dvd Ripper.exe
  • EZ Dvd Ripper.exe
  • Nimo Codec Pack Updater.exe
  • Xvid Codec Installer.exe
  • Starcraft + Broodwar 1.10 map hack.exe
  • Starcraft + Broodwar 1.10 no-cd hack.exe
  • Diablo 2 map hack.exe
  • Diablo 2 no-cd hack.exe
  • Warcraft 3 map hack.exe
  • Warcraft 3 stat hack.exe
  • Warcraft 3 no-cd hack.exe
  • Warcraft 3 Frozen Throne map hack.exe
  • Warcraft 3 Frozen Throne cd-cd hack.exe
  • The Frozen Throne map hack.exe
  • Counterstrike hacks.exe
  • Counterstrike aim hack.exe
  • Crack McAfee 7.exe
  • Crack Norton 3000.exe
  • Borland KeyGens.exe
  • SophosCrackAllVersion.exe
  • PANDA.lusers.exe
  • PANDA.AVers.lusers.exe
  • MP3 encoder decoder V1.8.exe
  • A+ Certification Test.exe
  • Cisco Certification Test.exe
  • MSCE Certification Test.exe
  • Windows Nt Certification Test.exe
  • XBOX X-Fer Ripper and Transfer.exe
  • Information.exe
  • EBAY.exe
  • VISA.EXE
  • PROVIDER.EXE
  • INTERNET.EXE

・また、以下のファイル名でC\Sysnetフォルダに自身をコピーします。

  • Norton AntiVirus 2004 Pro Activation Key &
  • Microsoft Windows XP Professional
  • Adobe Photoshop CS and ImageReady CS 8.0
  • Zone Alarm 5.0 pro
  • Harry Potter and the Prisoner of Azkaban KeyGen and
  • Norton Internet Security 2004 Keygen &
  • All Adobe Products
  • All Macromedia Products
  • All Microsoft Products
  • Divx Pro 5.1
  • Dvd Plus
  • Dvd Wizard Pro
  • Dvd Xcopy
  • DvdCopyOne
  • DvdToVcd
  • Easy Dvd creator
  • Nero Burning Rom
  • BitDefender
  • Nod32
  • Ipswich Town Official Management Game -
  • Bridge Baron 13
  • American Conquest -
  • Grom -
  • Slot City 3
  • Command and Conquer Generals
  • Nascar Racing 2003 Season
  • Eonix Realm Of Hepmia -
  • I Was An Atomic Mutant -
  • Fetish Fighters -
  • Battlefield 1942 The Road to Rome -
  • The Campaigns of La Grande Armee -
  • Unreal II The Awakening -
  • The Emperors Mahjong -
  • Sim City 4 -
  • Private Nurse -
  • Impossible Creatures -
  • Test Drive -
  • Shadow of Memories -
  • World Of Outlaws Sprint Car Racing 2002 -
  • Tombstone 1882 -
  • Airport Tycoon II -
  • Apache AH-64 Air Assault -
  • Serious Sam - Gold Edition -
  • IGI-2 Covert Strike -
  • Tom Clancys Splinter Cell -
  • Robot Arena Design And Destroy -
  • Freelancer -
  • Battlefield Vietnam -
  • Deus Ex -
  • Forbidden Siren -
  • Doom 3 -
  • WinRAR 3
  • WinACE
  • WinZIP 9
  • Norton AntiVirus 2005
  • Shrek 2
  • Spider-Man 2
  • Spellforce - Breath of Winter
  • Norton Internet Security 2005 Pro
  • Norton Internet Security 2004 Pro
  • Symantec Internet Secutiy 2005
  • Symantec Antivirus 2005
  • Harry Potter und der Gefangene von Askaban
  • Kazaa all
  • Windows Server 2003
  • Office XP Universal

・上記のファイル名には、以下のいずれかの文字列が付加されます。

  • Keygen.exe
  • Serial.exe
  • NoCD.exe
  • Crack.exe

・W32/Fightrub@MMは、Windowsの起動時に自身をロードするため、レジストリ実行キーを作成します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Ruby13" = "C:\Sysnet\Ruby13.exe"

・以下の値

  • "Dir0=012345:c:\sysnet\"
が以下のレジストリキーに追加されます。
  • HKEY_CURRENT_USER\Software\Kazaa\LocalContent\
  • HKEY_CURRENT_USER\Software\Kazaa\Transfer\
  • HKEY_CURRENT_USER\Software\iMesh\Client\LocalContent\

・これは、W32/Fightrub@MMがiMeshおよびKaZaaピアツーピアファイル共有ネットワークを使用して繁殖できるようにするためです。

電子メールを介した繁殖

・詳細は以下のとおりです。

差出人:(アドレスを偽装)

件名:

  • EBAY Information
  • VISA Information
  • Provider Information
  • Your Crack
  • Internet Information
本文:
  • EBAY Installer...
  • Security Tool...
  • Here is your crack!
  • New account data...
添付ファイル:C:\Sysnetフォルダからのいずれかのファイル

・W32/Fightrub@MMは、自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

  • .wab
  • .dbx
  • .htm
  • .sht
  • .txt
  • .doc
  • .rtf

・ただし、以下の文字列を含むアドレスには自身を送信しません。

  • supp
  • webm
  • viru
  • newv
  • kasp
  • micr
  • root
  • admi
  • host.

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る
  • ピアツーピアファイル共有ネットワーク
  • 自身のSMTPエンジンを使用した電子メール

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足