検出した場合の対処方法

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

DLLファイルは、%temp% フォルダにドロップされます。そのファイル名は、次のうちの1つです。

このプログラムサイズはおよそ30KBで、ライブラリはすべてのプロセスに対してインジェクトし、かつロードされます。

ウイルスは、システム上で使われるコードページについて調べます。それが936（簡体中国語）に設定されている場合は、ウイルスは活動をやめて、制御可能なホストに手渡します。

ウイルスのインスタンスが実行されていることを確認すべく、イベントオブジェクトを作ります。その名前は次の内の1つです。

ウイルスは、ローカルとネットワークドライブで見つかるファイルと同様に、Explorer.exe によってアクセスされる実行可能形式を感染させます。

ウイルスは、URLのリストを含んでおり、アドレスよりいくつかのファイルをダウンロードしようとします。ファイルは、その後実行されます。