 |
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/PSW.QQPass.VD トロイが実行されると、トロイは次のファイル名を使って自分自身を次の場所へコピーします。
| |
Program Files\Internet Explorer\PLUGINS\system2.jmp |
次のファイルは、同じフォルダにドロップします。
次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcSever32]
default = "c:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys"
"
ThreadingModel" = "Apartment"
|
| |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD060F1F} |
| |
[HKEY_CURRENT_USER\Software\Tencent\Hook2]
"
First" = "wk"
|
トロイのコードは実行中のプロセスにインジェクトします。
■盗難について
トロイは、QQインスタントメッセンジャが使われているときにさまざまな情報を集めます。トロイはリモート先のコンピュータへ情報を送信することができます。その際、HTTPプロトコルが使われます。
|
