キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/PSW.QQRob.GB
公開日:2007年5月24日
このウイルスに関する危険度 :■■□□□

定義名称 Win32/PSW.QQRob.GB
※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
別名 PSW.QQRob.GB, BDS/Hupigon.DP, BehavesLike:Trojan.Downloader, Infostealer.QQRob.A, PSW.Generic2.DKP, PWS-QQRob, QQRob!tr.pws, Trojan.PSW.Win32.QQRob, Trojan.PWS.QQRob.DZ, Trojan.PWS.Qqrobber.103, Trojan.QQRob.fn, Trojan-PSW.Win32.QQRob.gb, W32/Downloader, Win32/PSW.QQRob.GB, Win32:Qqrob-P
種別 トロイの木馬
対応定義ファイル バージョン 1.482 ~
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイの木馬を利用した亜種が検出された場合は、
「NewHeur_PE ウイルス」 もしくは、「Win32/PSW.QQRobの亜種」という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/PSW.QQRob.GBは、機密情報やパスワードを盗むトロイの木馬です。詳しい活動内容については、解説欄をご参照ください。

 

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/PSW.QQRob.GB トロイが実行されると、トロイは次のファイル名を使って自分自身を次の場所へコピーします。

   %windir%\system32\KvNative.exe

次のファイルは、同じフォルダにドロップします。

  c:\ew.exe
   %system%\NTdHcP.exe

次のレジストリを登録します。

  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NTdhcp = c:\windows\system32\NTdhcp.exe

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avapsvc
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon

次のプログラムを探し、停止を試みます。

  

Jiangmin Registry Ex- Monitor

  RavMon.exe
  Symantec AntiVirus
 

ZoneAlarm

トロイのコードは実行中に、キーポードを通じて入力情報を取得するキーロガーの役割を果たします。

■盗難について

トロイは、キーロガーとして活動するため、ドキュメントやWebページで入力した情報を集めます。トロイはリモート先のコンピュータへ情報を送信することができます。その際、HTTPプロトコルが使われます。


このページのトップへ

(C)Canon IT Solutions Inc.