最新ウイルス情報 : Win32/VB.PKO	公開日：2010年12月16日
このウイルスに関する危険度 :■■□□□

定義名称 Win32/VB.PKO シグネチャ検査による結果だった場合 Win32/VB.PKO 別名 Backdoor.Win32.Whimoo.acq（Kaspersky）、TROJ_SASFIS.AB（TrendMicro）、Trojan.DbHunter.1（Dr. Web） 種別 トロイの木馬 アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/VB.PKO トロイの木馬の亜種」という名称で警告が出ます。 対応時期 バージョン5624（20101116）以降 影響を受けるプラットフォーム Microsoft Windows 概要 このトロイの木馬は、パスワードや個人情報を盗み出します。収集した情報をリモートのコンピュータに送信する場合があります。このトロイの木馬は、別のマルウェアの一部であると考えられます。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法 常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。 対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。 解説での表記（用語）について 以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。 %currentfolder%は、カレントディレクトリを表記しています。 %filename%は、マルウェアプログラムのファイル名を表記しています。 %malwarepath%は、マルウェアプログラムまでのパスを表記しています。 解説 ■侵入（インストレーション）について このトロイの木馬は、自身のコピーを作成しません。 次のファイルを作成します。 %currentfolder%\myodbc.zip (2418120 B) %currentfolder%\myodbc5.lib (25364 B) %currentfolder%\AUNZIP32.DLL (113152 B) %currentfolder%\myodbc.exe (163840 B) %currentfolder%\myodbc5.dll (2649600 B) %currentfolder%\AZIP32.DLL (140800 B) %currentfolder%\myodbc5S.dll (1874432 B) %currentfolder%\myodbc5S.lib (1932 B) システムが起動するたびに実行されるよう、次のレジストリエントリを登録します。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "%filename%" = "%malwarepath%" 次のレジストリを登録します。 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\MySQL ODBC 5.1 Driver] "UsageCount" = 1 "Driver" = "%system%\myodbc5.dll" "Setup" = "%system%\myodbc5S.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\ODBC Drivers] "MySQL ODBC 5.1 Driver" = "Installed" 次のファイルを変更します。 %windir%\ODBCINST.INI ■情報の取得 このトロイの木馬は、Internet Explorerが次のサイトへのアクセスに使用されているときにさまざまな情報を収集します。 www.bradesco.com.br www.cetelem.com.br www.hotmail.com.br hotmail.com.br mail.live.com login.live.com www.locaweb.com.br www.msn.com br.msn.com sitenet.serasa.com.br terra.com.br mail.terra.com.br smail-mia.terra.com.br acesso.uol.com.br www.uol.com.br 次の情報を収集します。 ログイン名 ログインパスワード このトロイの木馬は1つのURLを保持しています。 収集した情報をリモートのコンピュータに送信する場合があります。 ■その他の情報 次のファイルを作成する場合があります。 C:\AVS%variable%.log %variable%には可変の文字列が入ります。