製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
Ransom-FCFH
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7024
対応定義ファイル
(現在必要とされるバージョン)
7092 (現在7600)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Microsoft - PWS:Win32/Fareit.gen!C Symantec - Downloader.Ponik Fortinet - W32/Kryptik.AGAJ!tr Drweb - Trojan.PWS.Stealer.2877 Kaspersky - Trojan-PSW.Win32.Tepfer.lnga
情報掲載日2013/06/13
発見日(米国日付)2013/06/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Ransom-FCFHはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・「Ransom-FCFH」は乗っ取ったマシンから機密情報を盗み出し、リモート攻撃者に送信するトロイの木馬です。また、Fake AV、Zero Accessなど、他のペイロードを乗っ取ったマシンにダウンロードします。

・「Ransom-FCFH」は以下のアプリケーションに保存されているパスワード、キャッシュ、クッキーから情報を盗み出します。

  • 電子メールクライアント
  • ブラウザ
  • FTPクライアント

・以下のコードが格納されたbatファイルをドロップ(作成)して、現在の場所から自身を削除しようとします。

del "%s"
if exist "%s" goto d
@echo off
del /F "%s

・実行時、explorer.exeにコードを挿入し、http/8080ポートを介して以下のURLに接続しようとします。

  • 116.122.[削除].195:8080
  • openvz8.vir[削除]srv.com
  • nourrirn[削除]onde.org
  • hxxp://116.[削除].158.195:8080/ponyb/gate.php
  • hxxp://nourri[削除]monde.org/ponyb/gate.php
  • hxxp://zoe[削除]agen.com/ponyb/gate.php
  • hxxp://gold[削除]wealth.com/ponyb/gate.php
  • hxxp://www.netnet-viaggi.it/2L6L.exe
  • hxxp://190.147.[削除].28/yqRSQ.exe
  • hxxp://pa[削除]lake.com/ngY.exe
  • hxxp://207.204.[削除].170/PXVYGJx.exe

・分析時、上記のサイトはダウンしていました。

・以下はシステムに追加されるレジストリキー値です。

  • HKEY_USERS\S-1-5-21-[不定]\Software\WinRAR\HWID: [バイナリデータ]
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000000
  • HKEY_USERS \S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable: 0x00000000

・上記のレジストリキー値により、Ransom-FCFHがプロキシ設定を無効にするようにします。

・以下は感染したマシンから収集され、リモートポート8080を介してリモート攻撃者に送信される情報です。

  • GetLocaleInfoA
  • GetUserNameA
  • gethostbyname
  • GetNativeSystemInfo
  • GetSystemInfo

・以下のアプリケーションから保存されているパスワード、キャッシュ、クッキーを盗み出します。

  • Opera
  • Firefox
  • Internet Explorer
  • Google Chrome
  • Windows Live Mail
  • Thunderbird
  • Bromium
  • Nichrome
  • Comodo
  • RockMelt
  • Visicom Media
  • Chromium
  • Global Downloader
  • NetSarang
  • Cyberduck
  • Pocomail
  • BatMail

・以下のFTPクライアントアプリケーションから保存されているサーバ名、ポート番号、ログインID、パスワードを盗み出します。

  • FileZilla
  • BulletProof FTP
  • SmartFTP
  • CuteFTP 6,7,8
  • CuteFTP Lite
  • CuteFTP Pro
  • COREFTP
  • TurboFTP
  • Robo-FTP 3.7
  • LinasFTP
  • FFFTP
  • FTP Explorer
  • ClassicFTP
  • Frigate3
  • VanDyke
  • FTPRush
  • LeapFTP
  • FTPHost
  • Ghisler
  • WinFTP
  • PuTTY

・実行時、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。

  • diamond
  • hope
  • maggie
  • maverick
  • online
  • spirit
  • george
  • friends
  • dallas
  • adidas
  • 1q2w3e
  • orange
  • testtest
  • asshole
  • apple
  • biteme
  • william
  • mickey
  • asdfgh
  • wisdom
  • batman
  • michelle
  • david
  • eminem
  • scooter
  • asdfasdf
  • sammy
  • baby
  • samantha
  • maxwell
  • justin
  • james
  • chicken
  • danielle
  • iloveyou2
  • fuckoff
  • prince
  • junior
  • rainbow
  • fuckyou1
  • nintendo
  • peanut
  • none
  • church
  • bubbles
  • robert
  • destiny
  • loving
  • gfhjkm
  • mylove
  • jasper
  • hallo
  • cocacola
  • helpme
  • nicole
  • guitar
  • billgates
  • looking
  • scooby
  • joseph
  • genesis
  • forum
  • emmanuel
  • cassie
  • victory
  • passw0rd
  • foobar
  • ilovegod
  • nathan
  • blabla
  • digital
  • peaches
  • football1
  • power
  • thunder
  • gateway
  • iloveyou!
  • football
  • tigger
  • corvette
  • angel

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記の活動が見られます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。