最新ウイルス情報 : Win32/Induc.C	公開日：2011年10月5日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Induc.C シグネチャ検査による結果だった場合 Win32/Induc.C 別名 Virus.Win32.Induc.lg（Kaspersky）、Win32.Induc.2（Dr. Web） 種別 ウイルス アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Induc.C ウイルスの亜種」という名称で警告が出ます。 対応時期 バージョン6383（20110816）以降 影響を受けるプラットフォーム Microsoft Windows 概要 これは、Delphiのコンパイル時に感染するウイルスです。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法 常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。 対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。 解説での表記（用語）について 以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。 %appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。 %startup%は、スタートアップディレクトリを表記しています。 %temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。 %malwarefilename%は、マルウェアプログラムファイル名を表記しています。 %delphipath%は、Delphiのインストール先ディレクトリを表記しています。 %drive%には、任意のドライブ名が入ります。 %currentfolder%は、カレントディレクトリを表記しています。 解説 ■侵入（インストレーション）について このウイルスは、実行時に自身を次の場所にコピーします。 %appdata%\APMV\APMV.exe 次のファイルを作成します。 %startup\%APMV.lnk 作成されたファイルは悪意のあるファイルへのショートカットです。 これにより、システムが起動するたびに実行されるようなります。 次のファイル名を使用して自身のコピーを作成する場合があります。 %temp%\%variable% %variable%には可変の文字列が入ります。 次のファイルを作成します。 %malwarefilename%.id %malwarefilename%.dat %malwarefilename%.flag ■ファイル感染 これは、Delphiのコンパイル時に感染するウイルスです。 次のファイルを改ざんします。 %delphipath%\rtl\sys\SysInit.pas 次のファイルを同じフォルダー内に作成します。 Defines.inc 自身のソースコードをファイルに書き込みます。 次の命令を実行します。 %delphipath%\bin\dcc32.exe -Q "%delphipath%\rtl\sys\System.pas" -M -Y -Z -$D- -0 作成された、"%delphipath%\rtl\sys\System.dcu"には、脅威のソースコードが組み込まれた元のソースコードが含まれています。 次のファイルのコピーを作成します。（コピー元、コピー先） %delphipath%\rtl\sys\System.dcu, %delphipath%\Lib\System.dcu "%delphipath%\rtl\sys\SysInit.pas"ファイルのコンテンツを元のデータで置き換えます（ファイルが改ざんされる直前）。 次のファイルを削除します。 %delphipath%\rtl\sys\SysInit.dcu %delphipath%\rtl\sys\System.dcu Delphiのプログラミング言語で記述されたプログラムをコンパイルすると、侵入のプログラムが含まれます。 ■実行ファイルへの感染について このウイルスは、次の拡張子を持つファイルをローカルドライブで探します。 .exe 次のフォルダーが含まれるドライブは避けます。 %drive%\System Volume Information\ 元のプログラムの開始時にコードを付加してファイルに感染します。 付加されるプログラムコードの大きさは52736Bです。 感染ファイルが実行された場合、元のプログラムは一時ファイルにドロップされて動作します。 一時ファイルの名前は次のようになります。 %currentfolder%\~.exe 次のファイルを作成します。 %currentfolder%\~.lnk 作成されたファイルは悪意のあるファイルへのショートカットです。 次の命令を実行します。 %currentfolder%\~.lnk ■その他の情報 このウイルスは、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。 3つのURLを保持しています。 インターネットからファイルをダウンロードし、実行する場合があります。 ダウンロードしたファイルを次の場所に保存します。 %temp%\%variable% %variable%には可変の文字列が入ります。 通信にはHTTPプロトコルが使用されます。