Tencent QQ Browser を消した後に残ったファイルが怪しい件について

QQ Browser を入れると Chrome 70 が使えると聞いたものの…

後日談です
アンインストール後、PCをチェックしてて、TsQBDrv.sys というのを見つけました

qq10
%APPDATA%\Tencent\QQBrowser にデータを持つ、ドライバーなのですが、QQブラウザ自体に”自称セキュリティ機能が”あるため、このドライバでファイルのチェックをカーネルレベルで行っているようなのですが、アンインストール後もこれが残っているようなのです。

qq11
Service名は TsQBDrv なのですが、非表示に設定されているため、サービス一覧には表示されません。

Windows 2000 では、

PsGetProcessPeb
CmRegisterCallback
MmPrefetchPages
CmUnRegisterCallback

に欠陥エクスポートがあるため、動作しませんが、XP以降だと裏でこのサービスが動くわけです。
さらに、%APPDATA% 直下にランダムな16進数のファイル名を持つ実行ファイルを発見しました

VirusTotal

ウイルストータルでは擬陽性です。
元のファイル名は、 GJFSP_20151119.exe なのですが、ほとんど挙動がマルウエアですね。

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です