キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/PSW.QQPass.JF
公開日:2006年12月19日
このウイルスに関する危険度 :■■□□□

定義名称 Win32/PSW.QQPass.JF
※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
別名 Trojan-PSW.Win32.QQRob.hl (Kaspersky), PWS-QQRob (McAfee), Hacktool.PWS.QQPass (Symantec)
種別 トロイの木馬
対応定義ファイル バージョン 1.1684
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイの木馬を利用した亜種が検出された場合は、
「NewHeur_PE ウイルス」 という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/PSW.QQPass.JFは、機密情報を盗むトロイの木馬です。詳しい活動内容については、解説欄をご参照ください。

 

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/PSW.QQPass.JF トロイが実行されると、トロイは次のファイル名を使って自分自身を %system% へコピーします。

   svohost.exe

次のファイルは、同じフォルダにドロップします。

   winscok.dll

ファイルのサイズは、 33280バイトです。次のファイルが作成されます。

   %userprofile%\Desktop\Internet Explorer.url
%system32%\noruns.reg

トロイは次のファイルを削除しようとします。

   %system32%\kakatool.dll

システムが開始される毎に実行できるよう、次のレジストリを登録します。

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" SoundMam" = "%system32%\svohost.exe"

さらに、次のレジストリを登録します。

  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
" CheckedValue" = "0"
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
" NoDriveTypeAutoRun" = "BD"

次のレジストリを削除します。

  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NTdhcp
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winhoxt

■拡散について

トロイは自身をリムーバブル ドライブと固定されたルートフォルダに次の名前でコピーします。

   sxs.exe

次のファイルを同じ場所に作成されます。

   autorun.inf

■盗難について

トロイは、QQインスタントメッセンジャが使われているときにさまざまな情報を集めます。トロイはリモート先のコンピュータへ情報を送信することができます。その際、HTTPプロトコルもしくは電子メールが使われます。

■その他の情報

2つのURLは、Internet Explorerで開かれます。2つのファイルは、インターネットからダウンロードされます。これらは、次のの場所に保存されます。

   %system32%\dqhx.txt
  %system32%\hie.txt

次のプログラムを停止させます。

   CCAPP.exe
CCenter.exe
EGHOST.exe
FireTray.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
Kvsrvxp.exe
KVSrvXp_1.exe
kvwsc.exe
KWATCHUI.exe
MAILMON.exe
MCAGENT.exe
MCVSESCN.exe
MSKAGENT.exe
net.exe
net1.exe
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
regedit.exe
RfwMain.exe
RRfwMain.exe
Rtvscan.exe
sc.exe
sc1.exe
SHSTAT.exe
TBMon.exe
TrojDie.kxp
UpdaterUI.exe
VPTray.exe

次のサービスを無効にします。

   ccEvtMgr
ccProxy
ccSetMgr
kavsvc
KVSrvXP
KVWSC
McAfeeFramework
McShield
McTaskManager
MskService
NPFMntor
RsCCenter
RsRavMon
SNDSrvc
SPBBCSvc
srservice
Symantec
wscsvc

トロイは、名前で以下の文字列のいずれかをウインドウに所有しているアプリケーションを終了します。

   qqav
TKillqqvir
TKqqviru


このページのトップへ

(C)Canon IT Solutions Inc.