製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:T
ウイルス情報
ウイルス名危険度
W32/Tufast.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4229
対応定義ファイル
(現在必要とされるバージョン)
4322 (現在7607)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Backdoor.IRC.Tufast (AVP), PackAger I-Worm, W32.HLLW.Tufas (Symantec), Win32.Pakfix (CA), WORM_PAKGER.A (Trend)
情報掲載日02/10/17
発見日(米国日付)02/10/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

  • W32/Tufast.worm は KaZaa のピアツーピアのファイル共有ウイルスで、キーロガー、IRC ボット、およびリモート アクセス型のトロイの木馬です。

  • 感染したファイルをダウンロードして実行すると、このウイルスは "AVP" ウイルス駆除プログラムを装い、KaZaa を介して配信されます。

  • このウイルスは、実行されるとウインドウを表示してウイルスをスキャンするように装います。

  • "スキャン" が完了すると、再起動を求める表示が現れます。

  • "OK" ボタンをクリックすると、システムが再起動されます。

  • このウイルスは、ランダムな10文字のファイル名を使用して自身を WINDOWS(%WinDir%)ディレクトリにコピーし、起動時にウイルスが読み込まれるようにレジストリ実行キーを作成します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "__(10文字のランダムなファイル名)" = %WinDir%\(ランダムなファイル名).exe

  • このウイルスはTCP ポート 4500 および変更する UDP ポートを開きます。IRC サーバの irc.libnet.com.br に接続し、作者にターゲットマシンの IP アドレスを知らせます。これにより、作者はリモート アクセス型トロイの木馬のコンポーネントを介して感染システムに接続することができます。

  • このウイルスは、以下のレジストリを介して KaZaa のローカル コンテンツ フォルダを取得します。

    • HKEY_CURRENT_USER\Software\KAZAA\LocalContent\Dir0

  • この情報を使用して、既存ファイルのファイル名をつけて自身のコピーをこのフォルダに落とし込みます。例えば、ディレクトリに ReadMe.txt ファイルが存在する場合、ReadMe.exe の名前で自身のコピーを作成します。

  • プロキシ サーバを使用するようにKaZaaを設定し、ファイル共有を使用可能にし、ウイルスが起動すると最初に偽の AVP ウインドウだけが表示されるようにウイルスが使用するマーカを設定するように、以下のレジストリ キーを作成します。

    • HKEY_CURRENT_USER\Software\KAZAA\LocalContent "BehindProxy" = 1
    • HKEY_CURRENT_USER\Software\KAZAA\LocalContent "DisableSharing" = 0
    • HKEY_CURRENT_USER\Software\KAZAA\LocalContent "KaZaARegKey" = (10文字のランダムなファイル名)


以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

  • TCP ポート 4500 が開いている。
  • 上記のレジストリ キーおよびウインドウが存在する。


感染方法TOPへ戻る

  • トロイの木馬のコンポーネントは、攻撃者が適切なコマンドを出すと、以下のセキュリティ ソフトウェア プログラムを終了させることができる。

    • _AMON
    • _AVP32
    • _AVPCC
    • _AVPM
    • ALERTSVC
    • AVP Control Centre
    • AVP32
    • AVPCC
    • AVPM
    • KAV Monitor
    • N32SCANW
    • NAVAPSVC
    • NAVAPW32
    • NAVLU32
    • NAVRUNR
    • NAVW32
    • NAVWNT
    • NOD32
    • NPSSVC
    • NRESQ32
    • NSCHED32
    • NSCHEDNT
    • NSPLUGIN
    • SCAN
    • SMSS

  • 入力されたキーストロークおよび表示されたウインドウ タイトルは、WINDOWS ディレクトリの %WinDir%\~TMP にファイルとして保存される。これにより、リモート攻撃者はユーザ名、パスワード、アカウント番号などの個人情報を入手することができる。

  • トロイの木馬は、接続した IRC サーバやチャネルを介して自動的に IRC コマンドも受け取る。