ウイルス情報

ウイルス名 危険度

PWS-FAUC

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7059
対応定義ファイル
(現在必要とされるバージョン)
7059 (現在7634)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Fortinet - W32/Onlinegames.QOC!tr.pws Kaspersky - Trojan-GameThief.Win32.OnLineGames.boke Ikarus - Trojan-GameThief.Win32.OnLineGames Microsoft - PWS:Win32/OnLineGames.AH
情報掲載日 2013/04/30
発見日(米国日付) 2013/04/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・PWS-FAUCはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・「PWS-FAUC」は人気のあるゲームのログイン資格情報を盗み出すトロイの木馬です。

・「PWS-FAUC」は人気のあるゲームの資格情報を盗み出し、ウイルス対策関連のプロセスを強制終了して検出を回避しようとします。

・また、「PWS-FAUC」はiexplorer.exeおよびexplorer.exeに自身を挿入し、収集した情報を送信します。

・また、「PWS-FAUC」は、システム起動時に実行されるようにするため、レジストリキーに以下のRUN項目を作成します。

  • Software\Microsoft\Windows\CurrentVersion\Run

・以下はPWS-FAUCが乗っ取ったシステムから情報を盗み出そうとするゲーム関連のプロセスです。

  • OLEACC.DLL
  • r2client.exe
  • CMStarterCore.exe
  • archeage.exe
  • heroes.exe
  • fifazf.exe
  • raycity.exe
  • launchern.exe
  • ModuMarble.exe
  • cstrike-online.exe
  • suddenattack.exe
  • KartRider.exe
  • sos.exe
  • ykm.exe
  • MYSFTY.EXE
  • CHROME.EXE
  • FIREFOX.EXE
  • mapleexplorer.exe
  • Diablo III.exe
  • dnf.exe
  • %sHShield\ehsvc.dll
  • pcotp.exe
  • maplestory.exe
  • client.exe
  • HSUpdate.exe
  • cabal2main.exe
  • YGOnline.exe
  • ngm.exe
  • baramt.exe
  • winbaram.exe

・以下は検出を回避するために乗っ取ったシステムで強制終了しようとするウイルス対策関連のプロセスです。

  • V3SP.EXE
  • V3SVC.EXE
  • V3UP.EXE
  • V3LSVC.EXE
  • V3LRUN.EXE
  • V3LTRAY.EXE
  • MUPDATE2.EXE
  • SGSVC.EXE
  • SGUI.EXE
  • SGRUN.EXE
  • NAVERAGENT.EXE
  • AVP.EXE
  • AYRTSRV.AYE
  • AYUPDSRV.AYE
  • AYAGENT.AYE
  • AVGNT.EXE
  • AVCENTER.EXE
  • AVGUARD.EXE
  • AVSCAN.EXE
  • AVUPGSVC.EXE
  • AVWSC.EXE
  • AVASTSVC.EXE
  • ASHUPD.EXE
  • AVASTUI.EXE
  • SHSTAT.EXE
  • MCTRAY.EXE
  • UDATERUI.EXE
  • MSSECES.EXE
  • EGUI.EXE
  • EKRN.EXE
  • CCSVCHST.EXE
  • NAVW32.EXE
  • UPDATESRV.EXE
  • VSSERV.EXE
  • SECCENTER.EXE
  • BDAGENT.EXE
  • BDREINIT.EXE
  • AVGAM.EXE
  • AVGEMC.EXE
  • AVGNSX.EXE
  • AVGRSX.EXE
  • AVGFRW.EXE
  • AVGWDSVC.EXE
  • AVGUPD.EXE
  • V3LRun.exe
  • V3LTray.exe

・以下は乗っ取ったマシンから収集した情報をリモート攻撃者に送信するためにPWS-FAUCが使用するコマンドです。

  • WSHAddressToString
  • WSHEnumProtocols
  • WSHGetBroadcastSockaddr
  • WSHGetProviderGuid
  • WSHGetSockaddrType
  • WSHGetSocketInformation
  • WSHGetWSAProtocolInfo
  • WSHGetWildcardSockaddr
  • WSHGetWinsockMapping
  • WSHIoctl
  • WSHJoinLeaf
  • WSHNotify
  • WSHOpenSocket
  • WSHOpenSocket2
  • WSHSetSocketInformation
  • WSHStringToAddress
  • wshtcptk.WSHAddressToString
  • wshtcptk.WSHEnumProtocols
  • wshtcptk.WSHGetBroadcastSockaddr
  • wshtcptk.WSHGetProviderGuid
  • wshtcptk.WSHGetSockaddrType
  • wshtcptk.WSHGetSocketInformation
  • wshtcptk.WSHGetWSAProtocolInfo
  • wshtcptk.WSHGetWildcardSockaddr
  • wshtcptk.WSHGetWinsockMapping
  • wshtcptk.WSHIoctl
  • wshtcptk.WSHJoinLeaf
  • wshtcptk.WSHNotify
  • wshtcptk.WSHOpenSocket
  • wshtcptk.WSHOpenSocket2
  • wshtcptk.WSHSetSocketInformation
  • wshtcptk.WSHStringToAddress

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記の活動が見られます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る