PE_FUJACKS.CT-O
[Symantec]Trojan Horse; [Microsoft] Virus:Win32/Viking.JB; [Kaspersky] PAK:UPX,ARC:EmbeddedEXE; [Mcafee] W32/Fujacks.az; [Sophos] Mal/Generic-L
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ファイル感染型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
インストール
ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %system%\drivers\TXPlatform.exe
自動実行方法
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Explorer = %system%\drivers\TXPlatform.exe
他のシステム変更
ウイルスは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = 0
(註:変更前の上記レジストリ値は、「1」となります。)
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- .asp
- .htm
- .html
- .exe
感染活動
ウイルスは、すべての物理ドライブおよびリムーバブルドライブ内に以下のフォルダを作成します。
- ¡¡¡¡¡¡.exe
ウイルスは、ネットワークドライブ内に以下のように自身のコピーを作成します。
- Cool_GameSetup.exe
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
OPEN=¡¡¡¡¡¡.exe
shell\open=´ò¿ª(&O)
shell\open\Command=¡¡¡¡¡¡.exe
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=¡¡¡¡¡¡.exe
その他
ウイルスは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}g08.com/down/down.txt
- http://www.{BLOCKED}g08.com/1.htm
- http://www.{BLOCKED}g08.com/js/general.js
- http://{BLOCKED}portal.information.com/?o_id=158506&domainname=daohang08.com