 |
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
現在のトロイの活動とNOD32の対応について |
|
|
本情報および解説につきましては、速報として現時点での内容をご案内しています。新しい情報が入り次第修正されますので、予めご了承ください。
開発元ESETのThreat Labsでは、2007年1月20日午前7時と午前9時(GMT時刻)の間に電子メールの約23%が、「Win32/Fuclip.B
トロイの木馬」が含まれており、猛威を振るう状況を確認しました。このトロイによって影響を受けるコンピュータはボットネットの一部となります。NOD32では、同日において検出できるよう対応しています。また、このトロイに似た活動を起こす「Win32/Nuwar.S
ワーム」も検出し対応しています。
このような事態であるためヒューリスティック検査でも検出ができるよう、監視モジュールであるAMONおよびIMON、EMONでアドバンスドヒューリスティック検査を有効な状態にしておいてください。
|
|
解説 |
|
|
■侵入(インストレーション)について Win32/Fuclip トロイが実行されると、トロイは次の名前を使って自分自身を
%system% へコピーし、インターネットから他のアーカイブのダウンロードやアンロードができるよう施します。
トロイは、次のファイルのプロセスに自分自身をインジェクトします。
トロイは、Windowsのサービスを開始する毎に実行できるよう、次のレジストリを登録します。
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCOM32 |
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32 |
トロイは、インターネット経由の共有を有効にし、Windows ファイアウォール サービスを無効にするために次の修正をします。
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4" |
■電子メール経由の拡散について
トロイはさらに拡散するために、UDP 7871番ポートを使用して感染したコンピュータを制御するためのボットネットを構築します。これはP2P(ピアツーピア)接続を作ることができ、ゾンビマシンを構成します。
最初の感染手段として、スパム配信のように大量の電子メールを不特定多数に送信されます。
電子メールの件名(Subject)は、次のうちの1つです。以下のメールに「Win32/Fuclip.B
トロイ」の添付ファイルが含まれている傾向があります。
| |
230 dead ace storm batters
Europe.
To killer AT 11, he"s free AT 21
and kill again!
British Muslims Genocide
Chinese missile
shot down Russian aircraft
Chinese missile
shot down Russian satellite
Chinese missile
shot down the USA aircraft
Chinese missile
shot down the USA satellite
Chinese missle
shot down Russian aircraft
Chinese missle
shot down Russian satellite
Chinese missle
shot down the USA aircraft
Chinese missle
shot down the USA satellite
Nuclear First
Act of Terrorism
Hugo Chavez dead
Naked teens attack home
director.
President of Russia Putin dead
Muslim
radical drinking enemies "blood.
Muslim
radical drinking enemies"s
blood.
Russian missile shot down Chinese
aircraft
Russian missile shot down Chinese
satellite
Russian missile shot down the
USA aircraft
Russian missile shot down
the USA satellite
Russian missle shot down
Chinese satellite
Russian missle shot
down the USA aircraft
Russian missle shot
down the USA satellite
Sadam Hussein alive!
Sadam Hussein safe
and sound!
Saddam Hussein alive!
Saddam Hussein safe
and sound!
The to commander of to nuclear
U.S. submarine
lunch the rocket by mistake.
The Supreme Court you have been attacked
by
terrorists. Sen. Mark Dayton dead!
Third World War just have started!
U.S. Secretary of State Condoleezza Rice
you have
kicked German Chancellor Angela Merkel
U.S. for Southwest braces another to
winter blast.
People dwells then 1000 plows dead.
Venezuelan
to leader: "Let"s
the War beginning ".
|
また、次の件名が使われる場合があります。以下のメールに「Win32/Fuclip.C トロイ」の添付ファイルが含まれている傾向があります。
| |
To Little (sex) Card
To Romantic Place
To Special Kiss
All For You
Breakfast in Bed Coupon
For You
Happy World Day Religion!
Hugging My Pillow
I a.m. Completes
I Believe
I Love You Under
Moonlit Waterfall
Most Beautiful Girl
Safe and Sound
Safe and Sound
Under in Love
Someone AT Last
The Dance of Love
The Miracle of Love
Vacation Love
Want to Meet?
We Are Different
We Have Walked
Wrapped Up
You Asked Me Why
You"re kissable Soo |
添付ファイルはトロイの実行形式ファイルで、次のファイル名です。
| |
flash postcard.exe
full clip.exe
full story.exe
full text.exe
full video.exe
read more.exe
video.exe |
■その他の情報
次のアプリケーションが停止されます。
| |
blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Publishing Registry
spybot
troja
vsmon
zonea |
□関連ウイルス情報
|
