W32.Fujacks.E

1. 次のファイルとして自分自身をコピーします。
   
   
   • %System%\Drivers\spoclsv.exe
     
     

     ---

     注意: %System% は可変でシステムフォルダを参照します。デフォルトでは、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

     ---

     
     
2. 次のレジストリサブキーへ
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
   
   次の値を追加します。
   
   "svcshare" = "%System%\Drivers\spoclsv.exe"
   
   これにより、Windows が起動するたびにこれが実行されるようにします。
   
   
3. 次のレジストリサブキー内で
   
   HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\Shawall
   
   次の値を変更します。
   
   " CheckedValue" = "0"
   
   
4. 次のレジストリサブキーからエントリを削除する可能性があります。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   \Network Associates Error Reporting Service
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
   
   
5. タイトル内に次の文字列を含むウィンドウを検索し、関連付けられているプロセスをすべて終了させます。
   
   
   • Symantec AntiVirus
   • System Safety Monitor
   • System Repair Engineer
   • VirusScan
   • Winsock Expert
   • Wrapped gift Killer
   • [中国語の文字]
     
     
6. 次のプロセスを停止します。
   
   
   • CCenter.exe
   • FrogAgent.exe
   • KRegEx.exe
   • KVCenter.kxp
   • KvMonXP.kxp
   • KVSrvXP.exe
   • KVXP.kxp
   • Logo1_.exe
   • Logo_1.exe
   • Mcshield.exe
   • msconfig.exe
   • naPrdMgr.exe
   • Rav.exe
   • Ravmon.exe
   • Ravmond.exe
   • RavmonD.exe
   • RavStub.exe
   • RavTask.exe
   • regedit.exe
   • Rundl132.exe
   • scan32.exe
   • taskmgr.exe
   • TBMon.exe
   • TrojDie.kxp
   • UIHost.exe
   • UpdaterUI.exe
   • VsTskMgr.exe
     
     
7. 次のサービスを停止します。このうち一部はセキュリティに関連している可能性があります。
   
   
   • AVP
   • ccEvtMgr
   • ccProxy
   • ccSetMgr
   • FireSvc
   • kavsvc
   • KPfwSvc
   • KVSrvXP
   • KVWSC
   • McAfeeFramework
   • McShield
   • McTaskManager
   • MskService
   • navapsvc
   • NPFMntor
   • RsCCenter
   • RsRavMon
   • Schedule
   • sharedaccess
   • SNDSrvc
   • SPBBCSvc
   • Symantec Core LC
   • wscsvc
     
     
8. ドライブ C: から始まる固定ドライブとリムーバブルドライブの両方をスキャンして次の拡張子を持つファイルを探し、それらを削除します。
   
   .gho
   
   
9. ドライブ C: から始まる固定ドライブとリムーバブルドライブの両方をスキャンして次の拡張子を持つファイルを探し、それらに感染します。
   
   
   • .com
   • .exe
   • .pif
   • .scr
     
     
10. ドライブ C: から始まる固定ドライブとリムーバブルドライブの両方をスキャンして次の拡張子を持つファイルを探し、有害な Web サイトを参照する目に見えない iframe を追加することによってそれらに感染します。
    
    
    • .asp
    • .aspx
    • .htm
    • .html
    • .jsp
    • .php
      
      
11. スキャンしたすべてのフォルダ内に次のファイルを投下します。
    
    Desktop_.ini
    
    

    ---

    注意: このファイルは有害なものではなく、感染マーカーとして作用するものです。

    ---

    
    
    
12. 標的のコンピュータにアタッチされているドライブ C: から始まるリムーバブルドライブをチェックし、自分自身を次のファイルとしてコピーします。
    
    [ドライブ文字]\setup.exe
    
    
13. 感染したドライブがシステムにアタッチされたときにワームを開始する指示を含んでいる次のファイルを作成します。
    
    [ドライブ文字]\autorun.inf
    
    
14. 見付かったすべてのローカル共有フォルダをクローズするために、一連の "net share" コマンドを使用します。
    
    
15. 自分自身を次のファイルとしてコピーし、それをサーバー上で実行することによって、弱いパスワードでプロテクトされているネットワーク共有を介して伝搬を試みます。
    
    GameSetup.exe
    
    
16. 次のパスワードリストを使用して、利用可能なネットワーク共有への自分自身のコピーを試みます。
    
    
    • 0
    • 000000
    • 007
    • 1
    • 110
    • 111
    • 1111
    • 111111
    • 11111111
    • 12
    • 121212
    • 123
    • 123123
    • 1234
    • 12345
    • 123456
    • 1234567
    • 12345678
    • 123456789
    • 1234qwer
    • 123abc
    • 123asd
    • 123qwe
    • 1313
    • 2002
    • 2003
    • 2112
    • 2600
    • 5150
    • 520
    • 5201314
    • 54321
    • 654321
    • 6969
    • 7777
    • 88888888
    • 901100
    • a
    • aaa
    • abc
    • abc123
    • abcd
    • admin
    • admin123
    • administrator
    • alpha
    • asdf
    • baseball
    • ccc
    • computer
    • database
    • enable
    • fish
    • fuck
    • fuckyou
    • god
    • godblessyou
    • golf
    • Guest
    • harley
    • home
    • ihavenopass
    • letmein
    • login
    • Login
    • love
    • mustang
    • mypass
    • mypass123
    • mypc
    • mypc123
    • owner
    • pass
    • passwd
    • password
    • pat
    • patrick
    • pc
    • pussy
    • pw
    • pw123
    • pwd
    • qq520
    • qwer
    • qwerty
    • root
    • server
    • sex
    • shadow
    • super
    • sybase
    • temp
    • temp123
    • test
    • test123
    • win
    • xp
    • xxx
    • yxcv
    • zxcv
      
      
17. 標的のコンピュータ上に他の脅威をダウンロードしてインストールしようとします。ダウンロードされるファイルのリストは、次の URL にある管理 Web サイトから入手されます。
    
    [http:]//www.whboy.net/update/wo[削除済み]

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。