ウイルス情報

ウイルス名 危険度

Trojan-FAJT

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6931
対応定義ファイル
(現在必要とされるバージョン)
6930 (現在7656)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Microsoft - Trojan:Win32/Malex.gen!E Kaspersky - HEUR:Trojan.Win32.Generic Ikarus - Trojan.Win32.Malex Norman - W32/Obfuscated.H3!genr
情報掲載日 2012/12/21
発見日(米国日付) 2012/12/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Trojan-FAJTはアクセス可能なディスクボリュームのルートに自身をコピーするワームです。さらに、ボリュームのルートにAutorun.infファイルを作成し、次にボリュームがマウントされたときに実行されるようにします。

TOPへ戻る

ウイルスの特徴

・「Trojan-FAJT」はユーザに気づかれずに特定のフォルダに自身をコピーしようとする悪質なファイルです。

実行時、以下の場所にファイルをドロップ(作成)します。

  • %programfiles%\Common Files\svchost.exe
  • %programfiles%\Common Files\log\user\20121207125246.cab.bak
  • %temp%\xx12
  • %temp%\xx13
  • %temp%\xx14
  • %temp%\xx15
  • %temp%\xx16
  • %temp%\xx17
  • %temp%\xx18
  • %temp%\xx19
  • %temp%\xx20
  • %temp%\xx21
  • %WINDIR%\drive.ini

実行時、以下のフォルダを作成します。

  • %WINDIR%\log
  • %programfiles%\Common Files\log
  • %programfiles%\Common Files\log\USER

以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: "%WINDIR%\system32\userinit.exe, %programfiles%\Common Files\svchost.exe -s"

上記のレジストリキー値により、Trojan-FAJTが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue: "0x00000000 (0)"

上記のレジストリキーにより、ファイル拡張子を隠し、フォルダアイコンに似せたアイコンを使って、ユーザにファイルを実行させようとします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: "0x00000001 (1)"

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよび活動が見られます。

TOPへ戻る

感染方法

・Trojan-FAJTはリムーバブルドライブに感染して拡散します。また、悪意のあるWebページを訪問することによって(リンクをクリック、またはユーザが何もしなくてもユーザのシステムにワームをインストールするスクリプトをホストしているWebサイトによって)インストールされる場合もあります。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る