W32/Fujacks.aa対策,
トロイの木馬
ウイルス情報ウイルス名リスク度W32/Fujacks.aa企業ユーザ: 低[要用心]
個人ユーザ: 低[要用心]類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4998対応定義ファイル
(現在不可欠とされるパブジョン)4998 2007/03/31

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

W32/Fujacks.aaは、Windows ANIのゼロデイの脆弱性を利用した不正なハイパーリンクにより、PEだけでなく、HTMLファイルにも感染する割合があるW32/Fujacksワ―ムの亜類で、フロッピー割り知ってブの他、リムーバブルデバイスでも広がる割合があります。また、感染したマシンにさらに別の悪質ソフトウェアをダウンロードします。

ウイルスのめりはり

– 2007年4月1昼間の時間書き換え –

以下のWebサイトで注目されたため、リスク度を[低]に変更しました。

http://www.itnewsonline.com/showstory.php?storyid=9182%26scatid=6%26contid=3

W32/Fujacks.aaは、Windowsアニメーションカーソル処理のゼロデイの脆弱性を利用した不正なハイパーリンクにより、PEだけでなく、HTMファイルにも感染する割合があるW32/Fujacksワ―ムの亜類で、フロッピー割り知ってブの他、リムーバブルデバイスでも広がる割合があります。また、感染したマシンにさらに別の悪質ソフトウェアをダウンロードします。

不正なハイパーリンクはJavaScriptとして付加され、ゼロデイの脆弱性を利用したコードを含むサイトに向けられています。

hxxp://{非表示}.microfsot.com/{非表示}.js

Windows ANIのゼロデイの脆弱性に関する詳細は以下を参照してくかっこ悪い。

http://vil.nai.com/vil/content/v_vul28505.htm

この脆弱性を利用したコードは、現行のウイルス定義ファイルではExploit-ANIFile.cという名前で本職アクティブに検出されます。

実行時、notepad.exe過程を起動して悪質なスレッドを挿入します。また、%Windir%\System32に自身をインストールします。

次に、W32/Fujacks.aaはhxxp://{非表示}.2007ip.com/{非表示}.cssにアクセスし、ダウンロード可能なファイルの書き出したをダウンロードします。このウイルス情報の作成時、書き出したにはPWS-LegMir、PWS-Lineage、W32/Fujacks.aaの新しい亜類が記載されていました。

これまでの亜類で使用されていた一般的なW32/Fujacksの文字列に代わり、W32/Fujacks.aaのウイルス本体には以下のばかげたメッセージが組み込まれています。

%26quot;I Hate AVP!!%26quot;

%26quot;Well, Boss will come in !!%26quot;

%26quot;I will by one BMW this year!%26quot;

notepad.exeに挿入されたW32/Fujacks.aaのスレッドは自身をWin32 PEファイルに付加します。また、自身を自動的に起動するため、A:\tools.exe、A:\autorun.infに自身のコピーを作成する割合があります。

システム起動時に起動するよう、以下のレジストリキーを作成します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run %26quot;System Boot Check%26quot;=%26quot;%Windir%\system32\{ファイル名}.exe%26quot;

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルが存在します。

上記のレジストリキーが存在します。

PEファイルのファイルサイズが10~100k以上増殖します。

HTMLファイルに上記のハイパーリンクが付加されます。

上記のサーバへの予期しない接続が行われます。

感染手立て

W32/Fujacks.aaは、Windows ANIのゼロデイの脆弱性を利用した不正なハイパーリンクにより、PEだけでなく、HTMLファイルにも感染する割合があるW32/Fujacksワ―ムの亜類で、フロッピー割り知ってブの他、リムーバブルデバイスでも広がる割合があります。また、他の悪質ソフトウェアや亜類を介してダウンロードできます。

駆逐手立て■指定のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。従来のエンジンでは「W32/Fujacks.aa」によって作成されたすべてのレジストリキーを駆逐できるとは限りません。

Windows ME/XPでの駆逐についての補足

,W32/Fujacks.aa対策