 |
 |
|
|
最新ウイルス定義ファイルバージョン
:
12381
(2015/10/09 17:02)
|
最新ウイルス情報 : Win32/PSW.QQRob.GB |
|
このウイルスに関する危険度
:■■□□□ |
| 定義名称 |
Win32/PSW.QQRob.GB
※このメッセージはシグネチャ検査による結果の場合に表示する名称です。 |
| 別名 |
PSW.QQRob.GB, BDS/Hupigon.DP,
BehavesLike:Trojan.Downloader, Infostealer.QQRob.A,
PSW.Generic2.DKP, PWS-QQRob, QQRob!tr.pws,
Trojan.PSW.Win32.QQRob, Trojan.PWS.QQRob.DZ,
Trojan.PWS.Qqrobber.103, Trojan.QQRob.fn, Trojan-PSW.Win32.QQRob.gb,
W32/Downloader, Win32/PSW.QQRob.GB, Win32:Qqrob-P |
| 種別 |
トロイの木馬 |
| 対応定義ファイル |
バージョン 1.482 ~ |
| アドバンスドヒューリスティック検査による結果だった場合 |
このオリジナルのトロイの木馬を利用した亜種が検出された場合は、
「NewHeur_PE
ウイルス」
もしくは、「Win32/PSW.QQRobの亜種」という名称で警告が出ます。 |
| 影響受けるプラットフォーム |
Microsoft Windows |
| 概要 |
Win32/PSW.QQRob.GBは、機密情報やパスワードを盗むトロイの木馬です。詳しい活動内容については、解説欄をご参照ください。 |
|
|
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/PSW.QQRob.GB トロイが実行されると、トロイは次のファイル名を使って自分自身を次の場所へコピーします。
| |
%windir%\system32\KvNative.exe |
次のファイルは、同じフォルダにドロップします。
| |
c:\ew.exe |
| |
%system%\NTdHcP.exe |
次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NTdhcp = c:\windows\system32\NTdhcp.exe
|
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avapsvc |
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter |
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
|
次のプログラムを探し、停止を試みます。
| |
Jiangmin Registry Ex- Monitor
|
| |
RavMon.exe |
| |
Symantec AntiVirus |
| |
ZoneAlarm
|
トロイのコードは実行中に、キーポードを通じて入力情報を取得するキーロガーの役割を果たします。
■盗難について
トロイは、キーロガーとして活動するため、ドキュメントやWebページで入力した情報を集めます。トロイはリモート先のコンピュータへ情報を送信することができます。その際、HTTPプロトコルが使われます。
|
|
|
|
|
|
