製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-FAUC
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7059
対応定義ファイル
(現在必要とされるバージョン)
7059 (現在7401)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Fortinet - W32/Onlinegames.QOC!tr.pws Kaspersky - Trojan-GameThief.Win32.OnLineGames.boke Ikarus - Trojan-GameThief.Win32.OnLineGames Microsoft - PWS:Win32/OnLineGames.AH
情報掲載日2013/04/30
発見日(米国日付)2013/04/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-FAUCはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・「PWS-FAUC」は人気のあるゲームのログイン資格情報を盗み出すトロイの木馬です。

・「PWS-FAUC」は人気のあるゲームの資格情報を盗み出し、ウイルス対策関連のプロセスを強制終了して検出を回避しようとします。

・また、「PWS-FAUC」はiexplorer.exeおよびexplorer.exeに自身を挿入し、収集した情報を送信します。

・また、「PWS-FAUC」は、システム起動時に実行されるようにするため、レジストリキーに以下のRUN項目を作成します。

  • Software\Microsoft\Windows\CurrentVersion\Run

・以下はPWS-FAUCが乗っ取ったシステムから情報を盗み出そうとするゲーム関連のプロセスです。

  • OLEACC.DLL
  • r2client.exe
  • CMStarterCore.exe
  • archeage.exe
  • heroes.exe
  • fifazf.exe
  • raycity.exe
  • launchern.exe
  • ModuMarble.exe
  • cstrike-online.exe
  • suddenattack.exe
  • KartRider.exe
  • sos.exe
  • ykm.exe
  • MYSFTY.EXE
  • CHROME.EXE
  • FIREFOX.EXE
  • mapleexplorer.exe
  • Diablo III.exe
  • dnf.exe
  • %sHShield\ehsvc.dll
  • pcotp.exe
  • maplestory.exe
  • client.exe
  • HSUpdate.exe
  • cabal2main.exe
  • YGOnline.exe
  • ngm.exe
  • baramt.exe
  • winbaram.exe

・以下は検出を回避するために乗っ取ったシステムで強制終了しようとするウイルス対策関連のプロセスです。

  • V3SP.EXE
  • V3SVC.EXE
  • V3UP.EXE
  • V3LSVC.EXE
  • V3LRUN.EXE
  • V3LTRAY.EXE
  • MUPDATE2.EXE
  • SGSVC.EXE
  • SGUI.EXE
  • SGRUN.EXE
  • NAVERAGENT.EXE
  • AVP.EXE
  • AYRTSRV.AYE
  • AYUPDSRV.AYE
  • AYAGENT.AYE
  • AVGNT.EXE
  • AVCENTER.EXE
  • AVGUARD.EXE
  • AVSCAN.EXE
  • AVUPGSVC.EXE
  • AVWSC.EXE
  • AVASTSVC.EXE
  • ASHUPD.EXE
  • AVASTUI.EXE
  • SHSTAT.EXE
  • MCTRAY.EXE
  • UDATERUI.EXE
  • MSSECES.EXE
  • EGUI.EXE
  • EKRN.EXE
  • CCSVCHST.EXE
  • NAVW32.EXE
  • UPDATESRV.EXE
  • VSSERV.EXE
  • SECCENTER.EXE
  • BDAGENT.EXE
  • BDREINIT.EXE
  • AVGAM.EXE
  • AVGEMC.EXE
  • AVGNSX.EXE
  • AVGRSX.EXE
  • AVGFRW.EXE
  • AVGWDSVC.EXE
  • AVGUPD.EXE
  • V3LRun.exe
  • V3LTray.exe

・以下は乗っ取ったマシンから収集した情報をリモート攻撃者に送信するためにPWS-FAUCが使用するコマンドです。

  • WSHAddressToString
  • WSHEnumProtocols
  • WSHGetBroadcastSockaddr
  • WSHGetProviderGuid
  • WSHGetSockaddrType
  • WSHGetSocketInformation
  • WSHGetWSAProtocolInfo
  • WSHGetWildcardSockaddr
  • WSHGetWinsockMapping
  • WSHIoctl
  • WSHJoinLeaf
  • WSHNotify
  • WSHOpenSocket
  • WSHOpenSocket2
  • WSHSetSocketInformation
  • WSHStringToAddress
  • wshtcptk.WSHAddressToString
  • wshtcptk.WSHEnumProtocols
  • wshtcptk.WSHGetBroadcastSockaddr
  • wshtcptk.WSHGetProviderGuid
  • wshtcptk.WSHGetSockaddrType
  • wshtcptk.WSHGetSocketInformation
  • wshtcptk.WSHGetWSAProtocolInfo
  • wshtcptk.WSHGetWildcardSockaddr
  • wshtcptk.WSHGetWinsockMapping
  • wshtcptk.WSHIoctl
  • wshtcptk.WSHJoinLeaf
  • wshtcptk.WSHNotify
  • wshtcptk.WSHOpenSocket
  • wshtcptk.WSHOpenSocket2
  • wshtcptk.WSHSetSocketInformation
  • wshtcptk.WSHStringToAddress

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記の活動が見られます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。