Tencent QQ Browser を消した後に残ったファイルが怪しい件について
QQ Browser を入れると Chrome 70 が使えると聞いたものの…
後日談です
アンインストール後、PCをチェックしてて、TsQBDrv.sys というのを見つけました
%APPDATA%\Tencent\QQBrowser にデータを持つ、ドライバーなのですが、QQブラウザ自体に”自称セキュリティ機能が”あるため、このドライバでファイルのチェックをカーネルレベルで行っているようなのですが、アンインストール後もこれが残っているようなのです。
Service名は TsQBDrv なのですが、非表示に設定されているため、サービス一覧には表示されません。
Windows 2000 では、
PsGetProcessPeb
CmRegisterCallback
MmPrefetchPages
CmUnRegisterCallback
CmRegisterCallback
MmPrefetchPages
CmUnRegisterCallback
に欠陥エクスポートがあるため、動作しませんが、XP以降だと裏でこのサービスが動くわけです。
さらに、%APPDATA% 直下にランダムな16進数のファイル名を持つ実行ファイルを発見しました
VirusTotal
ウイルストータルでは擬陽性です。
元のファイル名は、 GJFSP_20151119.exe なのですが、ほとんど挙動がマルウエアですね。
Comments