キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Fuclip
公開日:2007年1月22日
このウイルスに関する危険度 :■■■■□

トロイ系列名称 Win32/Fuclip
別名 Trojan-Downloader.Win32.Agent.bet (Kaspersky), Trojan-Downloader.Win32.Small.dam (Kaspersky), Downloader-BAI.gen (McAfee)
種別 トロイの木馬
対応定義ファイル

バージョン 1990
※亜種が確認され次第順次更新しています。

シグネチャ検査による結果だった場合 Win32/Fuclip.xx
※ xx は、そのトロイの特徴に応じて名称が加えられます。
(例:Win32/Fuclip.A、Win32/Fuclip.B、Win32/Fuclip.Cなど)
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した亜種が検出された場合は、
「NewHeur_PE ウイルス」もしくは「Win32/Fuclip トロイの亜種」
という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/Fuclip トロイのファミリーは、電子メールを通じて感染を広げるトロイです。詳しい活動内容については、解説欄をご参照ください。

 

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

現在のトロイの活動とNOD32の対応について

本情報および解説につきましては、速報として現時点での内容をご案内しています。新しい情報が入り次第修正されますので、予めご了承ください。

開発元ESETのThreat Labsでは、2007年1月20日午前7時と午前9時(GMT時刻)の間に電子メールの約23%が、「Win32/Fuclip.B トロイの木馬」が含まれており、猛威を振るう状況を確認しました。このトロイによって影響を受けるコンピュータはボットネットの一部となります。NOD32では、同日において検出できるよう対応しています。また、このトロイに似た活動を起こす「Win32/Nuwar.S ワーム」も検出し対応しています。

このような事態であるためヒューリスティック検査でも検出ができるよう、監視モジュールであるAMONおよびIMON、EMONでアドバンスドヒューリスティック検査を有効な状態にしておいてください。

解説

■侵入(インストレーション)について

Win32/Fuclip トロイが実行されると、トロイは次の名前を使って自分自身を %system% へコピーし、インターネットから他のアーカイブのダウンロードやアンロードができるよう施します。

  peers.ini
   wincom32.sys

トロイは、次のファイルのプロセスに自分自身をインジェクトします。

  services.exe

トロイは、Windowsのサービスを開始する毎に実行できるよう、次のレジストリを登録します。

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCOM32
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

トロイは、インターネット経由の共有を有効にし、Windows ファイアウォール サービスを無効にするために次の修正をします。

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"

■電子メール経由の拡散について

トロイはさらに拡散するために、UDP 7871番ポートを使用して感染したコンピュータを制御するためのボットネットを構築します。これはP2P(ピアツーピア)接続を作ることができ、ゾンビマシンを構成します。

最初の感染手段として、スパム配信のように大量の電子メールを不特定多数に送信されます。

電子メールの件名(Subject)は、次のうちの1つです。以下のメールに「Win32/Fuclip.B トロイ」の添付ファイルが含まれている傾向があります。

  

230 dead ace storm batters Europe.
To killer AT 11, he"s free AT 21 and kill again!
British Muslims Genocide
Chinese missile shot down Russian aircraft
Chinese missile shot down Russian satellite
Chinese missile shot down the USA aircraft
Chinese missile shot down the USA satellite
Chinese missle shot down Russian aircraft
Chinese missle shot down Russian satellite
Chinese missle shot down the USA aircraft
Chinese missle shot down the USA satellite
Nuclear First Act of Terrorism
Hugo Chavez dead
Naked teens attack home director.
President of Russia Putin dead
Muslim radical drinking enemies "blood.
Muslim radical drinking enemies"s blood.
Russian missile shot down Chinese aircraft
Russian missile shot down Chinese satellite
Russian missile shot down the USA aircraft
Russian missile shot down the USA satellite
Russian missle shot down Chinese satellite
Russian missle shot down the USA aircraft
Russian missle shot down the USA satellite
Sadam Hussein alive!
Sadam Hussein safe and sound!
Saddam Hussein alive!
Saddam Hussein safe and sound!
The to commander of to nuclear U.S. submarine lunch the rocket by mistake.
The Supreme Court you have been attacked by terrorists. Sen. Mark Dayton dead!
Third World War just have started!
U.S. Secretary of State Condoleezza Rice you have kicked German Chancellor Angela Merkel
U.S. for Southwest braces another to winter blast.
People dwells then 1000 plows dead.
Venezuelan to leader: "Let"s the War beginning ".

また、次の件名が使われる場合があります。以下のメールに「Win32/Fuclip.C トロイ」の添付ファイルが含まれている傾向があります。

   To Little (sex) Card
To Romantic Place
To Special Kiss
All For You
Breakfast in Bed Coupon
For You
Happy World Day Religion!
Hugging My Pillow
I a.m. Completes
I Believe
I Love You Under
Moonlit Waterfall
Most Beautiful Girl
Safe and Sound
Safe and Sound
Under in Love
Someone AT Last
The Dance of Love
The Miracle of Love
Vacation Love
Want to Meet?
We Are Different
We Have Walked
Wrapped Up
You Asked Me Why
You"re kissable Soo

添付ファイルはトロイの実行形式ファイルで、次のファイル名です。

   flash postcard.exe
full clip.exe
full story.exe
full text.exe
full video.exe
read more.exe
video.exe

■その他の情報

次のアプリケーションが停止されます。

   blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Publishing Registry
spybot
troja
vsmon
zonea

□関連ウイルス情報

   Win32/Nuwar.S


このページのトップへ

(C)Canon IT Solutions Inc.