製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
QHosts-18
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4397
対応定義ファイル
(現在必要とされるバージョン)
4397 (現在7507)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名Downloader.Lunii (Symantec) Trojan.Win32.Qhost.n (AVP)
情報掲載日2004/10/08
発見日(米国日付)2004/10/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・QHosts-18はロ―カルのHOSTSファイル(c:\windows\system32\drivers\etc\hosts)などを上書きして、ローカルシステムがドメイン名にアクセスできないようにします。また、リモートWebサイトに接続し、感染したマシンに複数のファイルをダウンロードして自動的に実行します。

・QHosts-18が動作すると、ホストファイルを上書きし、複数のアドウェアおよびポルノサイトを127.0.0.3に向けさせます。

・ファイルをダウンロードし、以下のファイル名を使用して保存します。

  • mstasks1.exe
  • toolbar.exe
  • dktime.exe
  • dk.exe
  • dk32.exe
  • test
  • sexxx.exe

・また、以下の実行中のプロセスを終了しようとします。

  • lpt.exe
  • ir.exe
  • intron.exe
  • intronet.exe
  • twink64.exe
  • usb.exe
  • teur.exe
  • host32.exe
  • sidefind.exe
  • alchem.exe
  • powerscan.exe
  • bdl74125.exe
  • Installer2.exe
  • ttgkirnl.exe
  • bargains.exe
  • WinClt.exe
  • Winad.exe
  • istsvc.exe
  • actalert.exe
  • optimize.exe
  • iinstall.exe
  • fnnmqi.exe
  • exdl.exe
  • printer.exe
  • printer32.exe
  • ykyrtws.exe
  • loadclean.exe
  • telnet.exe

・さらに、以下のファイルを削除しようとします。

  • host32.exe
  • telnet.exe.tmp
  • mouse.exe
  • com.exe
  • fnnmqi.exe
  • exdl.exe
  • exe2bin.exe
  • exul.exe
  • fastopen.exe
  • mscdexnt.exe
  • printer.exe
  • printer32.exe
  • ykyrtws.exe
  • lpt.exe
  • ir.exe
  • intron.exe
  • intronet.exe
  • twink64.exe
  • usb.exe
  • alchem.exe
  • adp8027_ISEARCHTECH5.exe
  • preInsTT.exe
  • preInsln.exe
  • preInMPP.exe
  • loadclean.exe

・以下のレジストリキーが削除される場合があります。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Ukbybc
    • Tern
    • ControlPanel
    • alchem
    • BullsEye Network
    • dmesewxqtj
    • Internet Optimizer
    • IST Servicemsbb
    • Power Scan
    • Winad Client

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・デスクトップファイアウォールプログラムが、見知らぬアプリケーションがインターネットにアクセスしようとしていることを警告します。

感染方法TOPへ戻る

・QHosts-18の目的は、インターネットからファイルをダウンロードして実行することだけです。自己複製は行いません。多くの場合、このようなトロイの木馬は、受信者がファイルを実行するように仕向けた電子メールで大量送信されます。他にも、IRC、ピアツーピアファイル共有ネットワーク、ニュースグループへの投稿の添付ファイルなどを通じて配布されます。また、セキュリティが不十分(オープン共有で脆弱なユーザ名とパスワードを使用、ファイアウォール保護がない/正しく設定されていない)、またはシステムに修正プログラムが適用されておらず脆弱なため、トロイの木馬を受信することもあります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足