ウイルス情報

ウイルス名 危険度

PWS-WMPatch

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4255
対応定義ファイル
(現在必要とされるバージョン)
4346 (現在7634)
対応エンジン 4.1.50以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/03/31
発見日(米国日付) 03/03/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・PWS-WMPatchのエントリがsysman32.exeという名前の32ビットのPEファイル(36,864バイト)に対応するように追加されました。このファイルはMSVC++で作成されており、内容はPE-Packで圧縮されています。

・PWS-WMPatchは、VMclient.dllというパッチであるように装って、PayPalやWebMoneyの使用者のためのソフトウェアであるとして、support@yahoo.comからの送信を装った偽の電子メールで配信されることがあります。

・ファイルを実行すると、PWS-INはGUIメッセージボックスを表示せずに静かに起動します。しかし、Windowsタスクマネージャのプロセスリストには表示されます。

・PWS-WMPatchはキャッシュされたパスワードを検索します。チェコ共和国にある特定の電子メールアドレスに電子メールを送信してIPアドレスに接続しようとします。この情報掲載の時点では、このIPアドレスは存在しないと思われました。

・PWS-INは、例えば現行の定義ファイル4254でヒューリスティックスキャンを有効にした場合、New Backdoor1の亜種として検出されます。定義ファイル4255には特定の検出機能が追加される予定です。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

sysman32.exeという名前の32ビットのPEファイル(36,864バイト)が存在します。

TOPへ戻る

感染方法

・PWS-WMPatchは偽の電子メールメッセージで配信されることがあります。添付ファイルを実行すると、PWS-WMPatchが初期設定されます。

TOPへ戻る