製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-FAFL
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6922
対応定義ファイル
(現在必要とされるバージョン)
6928 (現在7401)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Symantec-Trojan.Gen.2 Nod32-Win32/Injector.AACC trojan (variant) Drweb-Trojan.DownLoad3.18038
情報掲載日2012/12/19
発見日(米国日付)2012/12/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-FAFLはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

「PWS-FAFL」は自身をシステムプロセスに挿入して検出されないようにするトロイの木馬です。また、乗っ取ったシステムの情報を盗み出し、リモート攻撃者に送信する可能性があります。

「PWS-FAFL」は以下のアプリケーションに保存されているパスワード、キャッシュ、クッキーから情報を盗み出します。

  • 電子メールクライアント
  • ブラウザ
  • FTPクライアント

また、他のPWSの亜種を、乗っ取ったマシンにダウンロードします。

実行時、以下の場所に自身をコピーします。

  • %AppData%\KB00782382.exe
  • %Temp%\exp14D.tmp.bat
  • %Temp%\exp150.tmp
  • %Temp%\exp150.tmp.bat
  • %Temp%\exp14D.tmp
  • %Temp%\exp14E.tmp
  • %Temp%\exp14E.tmp.exe
  • %AppData%\C6B6D942\C6B6D942
  • %AppData%\KB00782382.exe

実行時、ポート80を介して以下のURLに接続しようとします。

  • 112.49.[削除].132
  • web.ecol[削除]ia.unam.mx
  • 180.235. [削除].72/uT4oXBAAAA/tXvAWAAAA/DcLoAAA/
  • 72.150. [削除].180
  • hxxp://123.49. [削除].59:8080
  • hxxp://180.235. [削除].72:8080
  • hxxp://59.90. [削除].6:8080
  • hxxp://173.224. [削除].135:8080
  • hxxp://210.56. [削除].100:8080
  • hxxp://199.71. [削除].194:8080
  • hxxp://74.117. [削除].66:8080
  • hxxp://209.51. [削除].247:8080
  • hxxp://174.143. [削除].136:8080
  • hxxp://74.207. [削除].170:8080
  • hxxp://203.217. [削除].52:8080
  • hxxp://208.87. [削除].18:8080
  • hxxp://206.176. [削除].157:8080
  • hxxp://69.64. [削除].82:8080
  • hxxp://23.22. [削除].122:8080
  • hxxp://173.192. [削除].36:8080
  • hxxp://64.120. [削除].112:8080
  • hxxp://89.221. [削除].217:8080
  • hxxp://132.248. [削除].112:8080/asp/intro.php
  • hxxp://113.130. [削除].77:8080/asp/intro.php
  • hxxp://203.113. [削除].131:8080/asp/intro.php
  • hxxp://110.164. [削除].250:8080/asp/intro.php
  • hxxp://200.108. [削除].158:8080/asp/intro.php
  • hxxp://207.182. [削除].115:8080/asp/intro.php
  • hxxp://148.208. [削除].70:8080/asp/intro.php
  • hxxp://203.172. [削除].26:8080/asp/intro.php
  • hxxp://202.6. [削除].103:8080/asp/intro.php
  • hxxp://203.146. [削除].180:8080/asp/intro.php
  • hxxp://207.126. [削除].208:8080/asp/intro.php
  • hxxp://203.80. [削除].81:8080/asp/intro.php
  • hxxp://202.180.[削除].186:8080/asp/intro.php

PWS-FAFLが実行されると、以下のレジストリ項目がシステムに追加されます。

  • HKey_Users \S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline: 0x00000000

上記のレジストリにより、IEがオンラインモードで動作するように設定します。

  • HKey_Users\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Run\KB00782382.exe: ""%AppData%\KB00782382.exe""

上記のレジストリにより、PWS-FAFLが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

以下の名前でMutexを作成します。

  • XMR181B67AD
  • XMM00000FF8

以下は感染したマシンから収集され、リモートポート80を介してリモート攻撃者に送信される情報です。

  • GetLocaleInfoA
  • GetUserNameA
  • gethostbyname
  • GetNativeSystemInfo
  • GetSystemInfo

PWS-FAFLは以下のアプリケーションから保存されているパスワード、キャッシュ、クッキーを盗み出します。

  • Opera
  • Firefox
  • Internet Explorer
  • Google Chrome
  • Windows Live Mail
  • Thunderbird
  • Bromium
  • Nichrome
  • Comodo
  • RockMelt
  • Visicom Media
  • Chromium
  • Global Downloader
  • NetSarang
  • Cyberduck
  • Pocomail
  • BatMail

実行時、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。

  • HzS
  • password
  • phpbb
  • qwerty
  • jesus
  • abc123
  • letmein
  • test
  • love
  • password1
  • hello
  • monkey
  • dragon
  • trustno1
  • iloveyou
  • shadow
  • christ
  • sunshine
  • master
  • computer
  • princess
  • tigger
  • football
  • angel
  • jesus1
  • whatever
  • freedom
  • killer
  • asdf
  • soccer
  • superman
  • michael
  • cheese
  • internet
  • joshua
  • fuckyou
  • blessed
  • baseball
  • starwars
  • purple
  • jordan
  • faith
  • summer
  • ashley
  • buster
  • heaven
  • pepper
  • hunter
  • lovely
  • andrew
  • thomas
  • angels
  • charlie
  • daniel
  • jennifer
  • single
  • hannah
  • qazwsx
  • happy
  • matrix
  • pass
  • aaaaaa
  • amanda
  • nothing
  • ginger
  • mother
  • snoopy
  • jessica
  • welcome
  • pokemon
  • iloveyou1
  • mustang
  • helpme
  • justin
  • jasmine
  • orange
  • testing
  • apple
  • michelle
  • peace
  • secret
  • grace
  • william
  • iloveyou2
  • nicole
  • muffin
  • gateway
  • fuckyou1
  • asshole
  • hahaha
  • poop
  • blessing
  • blahblah
  • myspace1
  • matthew
  • canada
  • silver
  • robert
  • forever
  • asdfgh
  • rachel
  • rainbow
  • guitar
  • peanut
  • batman
  • cookie
  • bailey
  • soccer1
  • mickey
  • biteme
  • hello1
  • eminem
  • dakota
  • samantha
  • compaq
  • diamond
  • taylor
  • forum
  • john316
  • richard
  • blink182
  • peaches
  • cool
  • flower
  • scooter
  • banana
  • james
  • asdfasdf
  • victory
  • london
  • 123qwe
  • startrek
  • george
  • winner
  • maggie
  • trinity
  • online
  • 123abc
  • chicken
  • junior
  • chris
  • passw0rd
  • austin
  • sparky
  • admin
  • merlin
  • google
  • friends
  • hope
  • shalom
  • nintendo
  • looking
  • harley
  • smokey
  • joseph
  • lucky
  • digital
  • thunder
  • spirit
  • bandit
  • enter
  • anthony
  • corvette
  • hockey
  • power
  • benjamin
  • iloveyou!
  • 1q2w3e
  • viper
  • genesis
  • knight
  • qwerty1
  • creative
  • foobar
  • adidas
  • rotimi
  • slayer
  • wisdom
  • praise
  • zxcvbnm
  • samuel
  • mike
  • dallas
  • green
  • testtest
  • maverick
  • onelove
  • david
  • mylove
  • church
  • friend
  • god
  • destiny
  • none
  • microsoft
  • bubbles
  • cocacola
  • jordan23
  • ilovegod
  • football1
  • loving
  • nathan
  • emmanuel
  • scooby
  • fuckoff
  • sammy
  • maxwell
  • jason
  • john
  • 1q2w3e4r
  • baby
  • red123
  • blabla
  • prince
  • qwert
  • chelsea
  • angel1
  • hardcore
  • dexter
  • saved
  • hallo
  • jasper
  • danielle
  • kitten
  • cassie
  • stella
  • prayer
  • hotdog
  • windows
  • mustdie
  • gates
  • billgates
  • ghbdtn
  • gfhjkm
  • hgTYDOMium

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る

トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。