ウイルス情報

ウイルス名 危険度

QReg-9

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4324
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/02/12
発見日(米国日付) 04/02/11
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・QReg-9はMSVBで作成されており、ターゲットマシンのさまざまな設定を変更します。QReg-9は.JPG.EXEの拡張子のついたファイル名で送信され、ユーザに実行ファイルだと思わせないようにします。

・QReg-9がターゲットマシンで実行されると、SystemディレクトリにBCFOLDER.EXEとして自身をコピーします。

・コピーされるファイルの例:
●C:\WINNT\SYSTEM32\BCFOLDER.EXE

・以下のレジストリキーが改変され、QReg-9をフックします。
●HKEY_CLASSES_ROOT\Folder\shell\open\command "(Default)"

・上記のレジストリキーの変更により、以下から
●%SystemRoot%\Explorer.exe /idlist,%I,%L
・以下に変更されます。
●C:\WINNT\System32\BCfolder.exe explorer.exe /idlist,%I,%L

・さらに、以下のレジストリキーを改変し、ターゲットマシンのリサイクルビン(ゴミ箱)の名前を「brutecode@yahoo.com」に変更します。
●HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} "(Default)"

・同じように、以下のレジストリキーも改変されます。
●HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} "LocalizedString"

・上記のレジストリキーの変更により、以下から
●@C:\WINNT\system32\shell32.dll,-8964@1033,Recycle Bin
・以下に変更されます。
●brutecode@yahoo.com

・以下のレジストリキーが削除されます。
●HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec "(Default)" = [ViewFolder("%l", %I, %S)]

・初期の分析によると、QReg-9はInternet Explorerのスタートページを改変しようとしましたが、テスト時には行われませんでした。

・QReg-9は以下の文字列を含みます。
●Dedicated to : GOD'S_OWN_COUNTRY

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・リサイクルビン(ゴミ箱)の名前がbrutecode@yahoo.com に改変されます。

・上記で説明したとおり、レジストリキーが改変されます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る