ウイルス情報

ウイルス名 危険度

QDel373

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4253
対応定義ファイル
(現在必要とされるバージョン)
4253 (現在7656)
対応エンジン 4.1.50以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/03/14
発見日(米国日付) 03/03/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・QDel373は、32ビットのPEファイルで“sistemas.exe”というファイル名です(注:ファイル名は変わることがあります)。Visual Basic 6で作成されており、圧縮されていない28,672バイト(10進数)のファイルです。

・このファイルが実行されると、以下の偽のGUI(グラフィカルユーザインターフェース)ディスプレイボックスを表示します。

・この時点で、以下のローカルシステム上のファイルを削除しています。

  • C:\Windows\*.ini
  • C:\WINDOWS\SYSBCKUP\rb*.cab
  • C:\Autoexec.pcc
  • C:\Autoexec.bat
  • C:\Autoexec.bak
  • C:\Config.sys
  • C:\Config.bak
  • C:\Windows\*.log
  • C:\Windows\*.exe
  • C:\Windows\*.com
  • C:\Windows\*.sys
  • C:\Windows\*.txt
  • C:\Windows\*.dll
  • C:\Windows\system\*.ini
  • C:\Windows\system\*.dll
  • C:\Windows\system\*.exe
  • C:\Windows\system\*.nls
  • C:\Windows\system\*.vxd
  • C:\Windows\system\*.scr
  • C:\Windows\system\*.hlp
  • C:\Windows\system\*.txt
  • C:\Windows\system32\*.scr
  • C:\Windows\system32\*.exe
  • C:\Windows\system32\*.log
  • C:\Windows\system32\*.drv
  • C:\Windows\system32\*.dll
  • C:\Windows\system32\*.sys
  • C:\Windows\system32\*.com
  • C:\Windows\system32\drivers\*.sys
  • C:\Windows\system32\drivers\*.drv
  • C:\Windows\system32\drivers\*.dll
  • C:\Windows\system32\drivers\*.exe
  • C:\Sales\*.APR
  • C:\Sales\*.ADX
  • C:\Sales\*.DBF
  • D:\Sales\*.APR
  • D:\Sales\*.ADX
  • D:\Sales\*.DBF
  • D:\basein~1\*.mdb
  • D:\Report~1\*.xls
  • D:\cajach~2\*.xls
  • D:\E-MAIL~2\*.wab
  • D:\E-MAIL~2\*.xls
  • D:\BASEQU~1\BACKUP\*.QDT
  • D:\BASEQU~1\BACKUP\*.QDF
  • D:\BASEQU~1\BACKUP\*.QEL
  • D:\BASEQU~1\BACKUP\*.QSD
  • D:\BASEQU~1\BACKUP\*.QTX
  • D:\BASEQU~1\BACKUP\*.DIR
  • D:\BASEQU~1\PM98\*.QDT
  • D:\BASEQU~1\PM98\*.QDF
  • D:\BASEQU~1\PM98\*.QEL
  • D:\BASEQU~1\PM98\*.QSD
  • D:\BASEQU~1\PM98\*.QTX
  • D:\BASEQU~1\PM98\*.DIR
  • D:\*.GHO
  • D:\*.exe
  • C:\*.exe
  • C:\*.bat
  • C:\*.sys
  • C:\MYDOCU~1\*.DOC
  • C:\MYDOCU~1\*.XLS
  • C:\MYDOCU~1\*.*

・上記のドライブ/ディレクトリは固定されており、変わることはありません。Windowsシステムは、バージョンによってデフォルトのインストールディレクトリが異なるので、QDel373のファイル削除ルーチンが機能しない場合もあります。

・この時点で、システムの反応がなくなります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・偽のエラーメッセージが表示されます。

・深刻なシステムハングが発生し、システムが反応しません。

・システムファイルが削除されます。

・システムブートできません。

TOPへ戻る

感染方法

・手動でQDel373を実行すると、ファイル削除ルーチンが開始されます。

TOPへ戻る