・QDel373は、32ビットのPEファイルで“sistemas.exe”というファイル名です(注:ファイル名は変わることがあります)。Visual Basic 6で作成されており、圧縮されていない28,672バイト(10進数)のファイルです。
・このファイルが実行されると、以下の偽のGUI(グラフィカルユーザインターフェース)ディスプレイボックスを表示します。
・この時点で、以下のローカルシステム上のファイルを削除しています。
- C:\Windows\*.ini
- C:\WINDOWS\SYSBCKUP\rb*.cab
- C:\Autoexec.pcc
- C:\Autoexec.bat
- C:\Autoexec.bak
- C:\Config.sys
- C:\Config.bak
- C:\Windows\*.log
- C:\Windows\*.exe
- C:\Windows\*.com
- C:\Windows\*.sys
- C:\Windows\*.txt
- C:\Windows\*.dll
- C:\Windows\system\*.ini
- C:\Windows\system\*.dll
- C:\Windows\system\*.exe
- C:\Windows\system\*.nls
- C:\Windows\system\*.vxd
- C:\Windows\system\*.scr
- C:\Windows\system\*.hlp
- C:\Windows\system\*.txt
- C:\Windows\system32\*.scr
- C:\Windows\system32\*.exe
- C:\Windows\system32\*.log
- C:\Windows\system32\*.drv
- C:\Windows\system32\*.dll
- C:\Windows\system32\*.sys
- C:\Windows\system32\*.com
- C:\Windows\system32\drivers\*.sys
- C:\Windows\system32\drivers\*.drv
- C:\Windows\system32\drivers\*.dll
- C:\Windows\system32\drivers\*.exe
- C:\Sales\*.APR
- C:\Sales\*.ADX
- C:\Sales\*.DBF
- D:\Sales\*.APR
- D:\Sales\*.ADX
- D:\Sales\*.DBF
- D:\basein~1\*.mdb
- D:\Report~1\*.xls
- D:\cajach~2\*.xls
- D:\E-MAIL~2\*.wab
- D:\E-MAIL~2\*.xls
- D:\BASEQU~1\BACKUP\*.QDT
- D:\BASEQU~1\BACKUP\*.QDF
- D:\BASEQU~1\BACKUP\*.QEL
- D:\BASEQU~1\BACKUP\*.QSD
- D:\BASEQU~1\BACKUP\*.QTX
- D:\BASEQU~1\BACKUP\*.DIR
- D:\BASEQU~1\PM98\*.QDT
- D:\BASEQU~1\PM98\*.QDF
- D:\BASEQU~1\PM98\*.QEL
- D:\BASEQU~1\PM98\*.QSD
- D:\BASEQU~1\PM98\*.QTX
- D:\BASEQU~1\PM98\*.DIR
- D:\*.GHO
- D:\*.exe
- C:\*.exe
- C:\*.bat
- C:\*.sys
- C:\MYDOCU~1\*.DOC
- C:\MYDOCU~1\*.XLS
- C:\MYDOCU~1\*.*
・上記のドライブ/ディレクトリは固定されており、変わることはありません。Windowsシステムは、バージョンによってデフォルトのインストールディレクトリが異なるので、QDel373のファイル削除ルーチンが機能しない場合もあります。
・この時点で、システムの反応がなくなります。
