McAfee for Small Businesses

ウイルス名 危険度 PWS-FAFL 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6922 対応定義ファイル (現在必要とされるバージョン) 6928　（現在7084) 対応エンジン 5.4.00.1158以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Symantec-Trojan.Gen.2 Nod32-Win32/Injector.AACC trojan (variant) Drweb-Trojan.DownLoad3.18038 情報掲載日 2012/12/19 発見日（米国日付） 2012/12/17 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・「PWS-FAFL」は自身をシステムプロセスに挿入して検出されないようにするトロイの木馬です。また、乗っ取ったシステムの情報を盗み出し、リモート攻撃者に送信する可能性があります。 ・「PWS-FAFL」は以下のアプリケーションに保存されているパスワード、キャッシュ、クッキーから情報を盗み出します。 電子メールクライアント ブラウザ FTPクライアント ・また、他のPWSの亜種を、乗っ取ったマシンにダウンロードします。 ・実行時、以下の場所に自身をコピーします。 %AppData%\KB00782382.exe %Temp%\exp14D.tmp.bat %Temp%\exp150.tmp %Temp%\exp150.tmp.bat %Temp%\exp14D.tmp %Temp%\exp14E.tmp %Temp%\exp14E.tmp.exe %AppData%\C6B6D942\C6B6D942 %AppData%\KB00782382.exe ・実行時、ポート80を介して以下のURLに接続しようとします。 112.49.[削除].132 web.ecol[削除]ia.unam.mx 180.235. [削除].72/uT4oXBAAAA/tXvAWAAAA/DcLoAAA/ 72.150. [削除].180 hxxp://123.49. [削除].59:8080 hxxp://180.235. [削除].72:8080 hxxp://59.90. [削除].6:8080 hxxp://173.224. [削除].135:8080 hxxp://210.56. [削除].100:8080 hxxp://199.71. [削除].194:8080 hxxp://74.117. [削除].66:8080 hxxp://209.51. [削除].247:8080 hxxp://174.143. [削除].136:8080 hxxp://74.207. [削除].170:8080 hxxp://203.217. [削除].52:8080 hxxp://208.87. [削除].18:8080 hxxp://206.176. [削除].157:8080 hxxp://69.64. [削除].82:8080 hxxp://23.22. [削除].122:8080 hxxp://173.192. [削除].36:8080 hxxp://64.120. [削除].112:8080 hxxp://89.221. [削除].217:8080 hxxp://132.248. [削除].112:8080/asp/intro.php hxxp://113.130. [削除].77:8080/asp/intro.php hxxp://203.113. [削除].131:8080/asp/intro.php hxxp://110.164. [削除].250:8080/asp/intro.php hxxp://200.108. [削除].158:8080/asp/intro.php hxxp://207.182. [削除].115:8080/asp/intro.php hxxp://148.208. [削除].70:8080/asp/intro.php hxxp://203.172. [削除].26:8080/asp/intro.php hxxp://202.6. [削除].103:8080/asp/intro.php hxxp://203.146. [削除].180:8080/asp/intro.php hxxp://207.126. [削除].208:8080/asp/intro.php hxxp://203.80. [削除].81:8080/asp/intro.php hxxp://202.180.[削除].186:8080/asp/intro.php ・PWS-FAFLが実行されると、以下のレジストリ項目がシステムに追加されます。 HKey_Users \S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline: 0x00000000 ・上記のレジストリにより、IEがオンラインモードで動作するように設定します。 HKey_Users\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Run\KB00782382.exe: ""%AppData%\KB00782382.exe"" ・上記のレジストリにより、PWS-FAFLが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。 ・以下の名前でMutexを作成します。 XMR181B67AD XMM00000FF8 ・以下は感染したマシンから収集され、リモートポート80を介してリモート攻撃者に送信される情報です。 GetLocaleInfoA GetUserNameA gethostbyname GetNativeSystemInfo GetSystemInfo ・PWS-FAFLは以下のアプリケーションから保存されているパスワード、キャッシュ、クッキーを盗み出します。 Opera Firefox Internet Explorer Google Chrome Windows Live Mail Thunderbird Bromium Nichrome Comodo RockMelt Visicom Media Chromium Global Downloader NetSarang Cyberduck Pocomail BatMail ・実行時、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。 HzS password phpbb qwerty jesus abc123 letmein test love password1 hello monkey dragon trustno1 iloveyou shadow christ sunshine master computer princess tigger football angel jesus1 whatever freedom killer asdf soccer superman michael cheese internet joshua fuckyou blessed baseball starwars purple jordan faith summer ashley buster heaven pepper hunter lovely andrew thomas angels charlie daniel jennifer single hannah qazwsx happy matrix pass aaaaaa amanda nothing ginger mother snoopy jessica welcome pokemon iloveyou1 mustang helpme justin jasmine orange testing apple michelle peace secret grace william iloveyou2 nicole muffin gateway fuckyou1 asshole hahaha poop blessing blahblah myspace1 matthew canada silver robert forever asdfgh rachel rainbow guitar peanut batman cookie bailey soccer1 mickey biteme hello1 eminem dakota samantha compaq diamond taylor forum john316 richard blink182 peaches cool flower scooter banana james asdfasdf victory london 123qwe startrek george winner maggie trinity online 123abc chicken junior chris passw0rd austin sparky admin merlin google friends hope shalom nintendo looking harley smokey joseph lucky digital thunder spirit bandit enter anthony corvette hockey power benjamin iloveyou! 1q2w3e viper genesis knight qwerty1 creative foobar adidas rotimi slayer wisdom praise zxcvbnm samuel mike dallas green testtest maverick onelove david mylove church friend god destiny none microsoft bubbles cocacola jordan23 ilovegod football1 loving nathan emmanuel scooby fuckoff sammy maxwell jason john 1q2w3e4r baby red123 blabla prince qwert chelsea angel1 hardcore dexter saved hallo jasper danielle kitten cassie stella prayer hotdog windows mustdie gates billgates ghbdtn gfhjkm hgTYDOMium 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記のファイルおよびレジストリキーが存在します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。