製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
WinCE/Pmcryptic.A.intd
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		5577
対応定義ファイル
(現在必要とされるバージョン)		5577 (現在7077)
対応エンジン5.1.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日2009/04/09
発見日(米国日付)2008/11/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/15ZeroAccess!5...
05/15VBS/LoveLett...
05/15RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7077
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・WinCE/Pmcryptic.A.intdはメモリカードを介して拡散し、サービス拒否攻撃を仕掛けようとするポリモルフィック型ワーム兼コンパニオンウイルスです。実際のデバイスでは想定通りに動作しないと考えられています。

ウイルスの特徴TOPに戻る

・サンプルを分解した初期解析では、複数のペイロードの可能性が判明しました。WinCE/Pmcryptic.A.intdは部分的に暗号化されており、実行時に自身の暗号を解読するためのコードが組み込まれています。実行ファイルは3つのセクションで暗号化されており、それぞれ暗号化ルーチンが若干異なります。

・WinCE/Pmcryptic.A.intdには以下のコードが組み込まれています。

  • 通話により、サービス拒否攻撃を仕掛けるコード

    約40秒ごとに1860にダイヤルされ、20秒間、通話状態になります。

  • ウィンドウにユーザ入力を受け取らせないようにするコード

    隠し属性を設定した状態で、自身をデバイスの以下の場所にコピーします。

    • \[ストレージカード名].exe
    • \system.exe
    • [フラッシュカード]\2577\autorun.exe
    • [フラッシュカード]\2577\[ランダムなファイル名].exe
  • フラッシュカード、内部メモリのすべての既存フォルダに自身をコピーするコード

    [フォルダ名].exeが[フォルダ名]フォルダの親フォルダに作成されます。

    [ランダムなファイル名].exeが既存のフォルダに作成されます。

  • 自身をスタートアップフォルダにコピーするコード

    再起動後、WinCE/Pmcryptic.A.intdが自動的に動作します。

  • 偽のエラーメッセージを含むメッセージボックスを表示するコード

    メッセージは「录 损 坏」(意訳すると「フォルダまたはディレクトリがクラッシュしています」)です。

    システムのカラー設定を変更します。

・WinCE/Pmcryptic.A.intdのポリモルフィック型ワームの機能により、コピーごとに使われる暗号化が変更され、フラッシュカードにコピーが作成されます。感染したフラッシュカードが新しいデバイスに挿入されると、WinCE/Pmcryptic.A.intdが感染します。また、コンパニオンウイルスの機能により、既存のフォルダ名が利用され、同じ名前のフォルダとの区別をあいまいなものにします。これにより、ユーザは、オリジナルのフォルダではなく、WinCE/Pmcryptic.A.intdをクリックする可能性があります。

図1 - フォルダがクラッシュしたことを知らせるエラーメッセージ。2.exeファイルのアイコンは隠しフォルダのアイコン。

・初期解析では、WinCE/Pmcryptic.A.intdのテストはMicrosoft Device Emulatorで行われました。その際、複数のペイロードが確認されました。

・実際のデバイスでのテストでは、WinCE/Pmcryptic.A.intdは正常に動作しませんでした。プロセスは開始されましたが、すぐに終了しました。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・WinCE/Pmcryptic.A.intdは以下を実行しようとします。

  • 1860に電話をかけて、サービス拒否攻撃を仕掛けます。
  • ユーザ入力が受け取られないようにします。
  • 見つかったすべてのメモリカードに「autorun.exe」というファイル名で自身を2577フォルダにコピーします。
  • \system.exeに自身をコピーし、隠し属性を設定します。
  • Windowsのファイルエクスプローラを起動します。
  • 录 损 坏」(フォルダまたはディレクトリがクラッシュしています)というエラーメッセージを含むメッセージボックスをひょうじします。
  • すべてのフォルダを見つけ出し、ポリモルフィックに改変(暗号化)された新しい自身のバージョンを<フォルダ名>.exeという名前で作成し、隠し属性を設定します。
  • システムのカラー設定を変更します。

・これらの動作はエミュレートされたデバイスでのみ確認され、実際のデバイスでは、WinCE/Pmcryptic.A.intdは正常に動作しませんでした。

感染方法TOPへ戻る

駆除方法TOPへ戻る