製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-FASI
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7059
対応定義ファイル
(現在必要とされるバージョン)
7059 (現在7565)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Trend - TSPY_ONLINEG.SM9 Fortinet - W32/Onlinegames.QAL!tr Ikarus - Trojan-PWS.Win32.OnLineGames Kaspersky - Trojan-Ransom.Win32.Cidox.aajg Avast - Win32:OnLineGames-GGZ
情報掲載日2013/04/30
発見日(米国日付)2013/04/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-FASIはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・「PWS-FASI」はトロイの木馬によってドロップ(作成)されるファイルです。ソースファイルはPWS-FATCという名前で検出され、人気のあるオンラインゲームサイトのログイン資格情報を盗み出すファイルをドロップします。

・「PWS-FASI」は人気のあるオンラインゲームサイトのログイン資格情報とクッキーを盗み出し、プロキシ設定を無効にします。

・また、「PWS-FASI」はiexplorer.exeおよびexplorer.exeに自身を挿入し、収集した情報を送信します。

・以下はPWS-FASIが乗っ取ったシステムから情報を盗み出そうとするオンラインゲームです。

  • aran.kr.gameclub.com
  • login.n[削除]n.com
  • auth.s[削除]n24.com
  • bns.p[削除]c.com
  • dk.h[削除]e.com
  • heroes.n[削除]n.com
  • r2.w[削除]n.co.kr
  • w[w]w.n[削除]n.com
  • w[w]w.ha[削除]ney.co.kr
  • w[w]w.te[削除]sh.co.kr
  • w[w]w.cult[削除]nd.co.kr
  • w[w]w.b[削除]fe.com
  • ipin.sir[削除]24.com
  • cap[削除]es.net
  • dragonnest.n[削除]n.com
  • elsword.n[削除]n.com
  • clubaudition.n[削除]n.com
  • ne[削除]ble.net
  • item[削除]ia.com
  • w[w]w.ite[削除]ay.com
  • w[w]w.p[削除]g.com
  • aion.pl[削除]nc.jp
  • pl[削除]c.co.kr
  • maplestory.n[削除]n.com
  • h[削除]me.com
  • fifaonline.p[削除]g.com
  • df.n[削除]n.com
  • n[削除]n.com/cash/page/payrequest.aspx
  • baram.n[削除]n.com
  • fifaonline3.n[削除]n.com
  • kr.b[削除]le.net
  • yulgang.m[削除]e.com
  • w[w]w.cap[削除]es.net
  • w[w]w.hap[削除]ey.co.kr...
  • id.h[削除]me.com
  • npubid.h[削除]e.com
  • mo.n[削除]ble.net
  • samwinfo.ca[削除]mes.net
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=24
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=14
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=43
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=19
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=1
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=26
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=25
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=2
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=40
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=3
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=17
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=23
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=18
  • poker.h[削除]me.com/poker7.nhn
  • poker.h[削除]me.com/baduki.nhn
  • poker.h[削除]me.com/highlow2.nhn
  • poker.h[削除]me.com/hoola3.nhn
  • poker.h[削除]me.com/duelpoker.nhn
  • poker.h[削除]me.com/laspoker.nhn
  • tera.h[削除]me.com

・実行時、iexplorer.exeにファイルを挿入し、リモートポート80を介して以下のURLに接続しようとします。

  • 202.56 .[削除].5
  • hxxp://198.105.[削除].189/kaixin/post.asp?mac=D9FF203FDDE8FDCD8818C697DA91FF20&os=winxp%20Professional&avs=unknow&ps=NO.&ver=77lg
  • 189.210.[削除].198
  • static.mi.[削除].ase.com

・実行時、以下の場所にファイルをドロップ(作成)します。

  • %Temp%\A1.zip
  • %Temp%\B1.zip
  • %Temp%\C1.zip
  • %Temp%\qHiq7fu.dll [PWS-FASJという名前で検出]
  • %Temp%\VaIDqre2.dll [PWS-FASJという名前で検出]
  • %Temp%\yJB3kYUHuy
  • %WINDIR%\system32\drivers\33be210c.sys [PWS-FAJBという名前で検出]
  • %WINDIR%\system32\DruYwueJ3
  • %WINDIR%\system32\kakutk.dll [PWS-FASIという名前で検出]
  • %WINDIR%\system32\wshtcptk.dll
  • %WINDIR%\system32\drivers\4f15148a.sys[PWS-FAJBという名前で検出]

・以下はシステムに追加されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\SYS_DLL
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\ProgID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\Programmable
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\VersionIndependentProgID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\TypeLib
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\0\win32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\FLAGS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\HELPDIR
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{GUID}

・以下はシステムに追加されるレジストリキー値です。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable:0

・上記のレジストリキー値により、プロキシ設定を無効にします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID\name: "667905097.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\SYS_DLL\name: "qHiq7fu.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\VersionIndependentProgID\
  • : "IEHlprObj.IEHlprObj"
  • : "IEHlprObj.IEHlprObj.1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\
  • : "%WINDIR%\system32\kakutk.dll"
  • ThreadingModel: "Apartment"

・上記のレジストリ値により、システムが起動するたびにPWS-FASIが実行されるようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\: "IEHlprObj Class"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\TypeLib\
  • : "{GUID}"
  • Version: "1.0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid32\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\: "IIEHlprObj"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\0\win32\: "%WINDIR%\system32\kakutk.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\HELPDIR\: "%WINDIR%\system32\"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\FLAGS\: "0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\: "IEHelper 1.0 Type Library"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer\
  • : "IEHlprObj.IEHlprObj.1"
  • : "IEHlprObj Class"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\: "IEHlprObj Class"

・上記のレジストリ項目により、自身をBrowser Helper Objectとして登録し、Internet Explorerが使用されるたびに自動的に実行されるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_4F15148A\0000\Control\
  • *NewlyCreated*: 0x00000000
  • ActiveService: "4f15148a"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_4F15148A\0000\
  • Service: "4f15148a"
  • Legacy: 0x00000001
  • ConfigFlags: 0x00000000
  • Class: "LegacyDriver"
  • ClassGUID: "{GUID}"
  • DeviceDesc: "4f15148a"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_4F15148A\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4f15148a\Enum\
  • 0: "Root\LEGACY_4F15148A\0000"
  • Count: 0x00000001
  • NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4f15148a\Security\
  • Security: [バイナリデータ]
  • Type: 0x00000001
  • Start: 0x00000002
  • ErrorControl: 0x00000001
  • ImagePath: "\??\%WINDIR%\system32\drivers\4f15148a.sys"
  • DisplayName: "4f15148a"

・上記のレジストリ値により、「4f15148a」という名前のサービスを作成し、Start TypeをAutomaticに設定して、システム起動時に実行されるようにします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記の活動が見られます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。