PE_INDUC.A
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ウイルスは、改変されたファイルとしてコンピュータに侵入します。このファイルは、感染したBorland Delphiコンパイラを利用してコンパイルされています。
ウイルスは、不正なWebサイトにアクセスします。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
ウイルスは、改変されたファイルとしてコンピュータに侵入します。このファイルは、感染したBorland Delphiコンパイラを利用してコンパイルされています。
実行されると、>ウイルスは、以下のレジストリ値を確認して、コンピュータのDelphiインストールを確認します。
HKEY_LOCAL_MACHINE\Software\Borland\Delphi\{version}.0
{version}はDelphiのバージョン番号(4から7までの数字)が入ります。
ウイルスは、上述のレジストリからコンピュータのルートフォルダを取得してDelphiのインストールフォルダの場所を確認します。その後、ウイルスは、ファイル"SYSCONST.PAS"を検索します。このファイルは、コードを追加することで改変されます。
Delphiのコンパイラ、"bin\dcc32.exe"を利用することにより、改変された"SYSCONST.PAS"を利用する"SYSCONST.DCU" の新しいコピーをコンパイルします。トレンドマイクロの製品では、新しくコンパイルされたDCUファイルを「TROJ_INDUC.AA」として検出します。
元の"SYSCONST.DCU"ファイルは"SYSCONST.BAK"に改称され、そして改変された"SYSCONST.PAS" は、削除されます。またウイルスは、元のコピーと同じ日付および時間を新しいファイルに設定します。
一旦感染すると、改変されたDelphiコンパイラを利用してコンパイル、リンクされたすべてのファイルも感染されます。
ウイルスは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}1.pointking.kr/mysite_bho_list.php
- http://{BLOCKED}e.pointguard.co.kr/blist.php
- http://www.{BLOCKED}oa.co.kr/count/incheck4.php
ただし、情報公開日現在、このWebサイトにはアクセスできません
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_INDUC.A」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
自動削除手順
Trend Micro fixtoolを入手して実行してください。リンクをクリックして解凍した上で、指定のFixtoolを最新パターンファイルがある同じフォルダ内で実行してください。このツールの詳細に関しては、同様にクリックして解凍した際に入手できるFixtoolのテキストファイルをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください