Tencent QQ Browser を消した後に残ったファイルが怪しい件について

2019年7月9日

QQ Browser を入れると Chrome 70 が使えると聞いたものの…

QQ Browser を入れると Chrome 70 が使えると聞いたものの…その2

後日談です

アンインストール後、PCをチェックしてて、TsQBDrv.sys というのを見つけました

%APPDATA%\Tencent\QQBrowser にデータを持つ、ドライバーなのですが、QQブラウザ自体に”自称セキュリティ機能が”あるため、このドライバでファイルのチェックをカーネルレベルで行っているようなのですが、アンインストール後もこれが残っているようなのです。

Service名は TsQBDrv なのですが、非表示に設定されているため、サービス一覧には表示されません。

Windows 2000 では、

PsGetProcessPeb
CmRegisterCallback
MmPrefetchPages
CmUnRegisterCallback

に欠陥エクスポートがあるため、動作しませんが、XP以降だと裏でこのサービスが動くわけです。

さらに、%APPDATA% 直下にランダムな１６進数のファイル名を持つ実行ファイルを発見しました

VirusTotal

ウイルストータルでは擬陽性です。

元のファイル名は、 GJFSP_20151119.exe なのですが、ほとんど挙動がマルウエアですね。

おすすめ

• 0

  IE6を乗っ取る Chrome Frame を Windows 2000で動かしてみました

  2009年9月25日

   by · Published 2009年9月25日

• 0

  機能強化された Chrome Installer for Windows 2000の使い方

  2009年10月5日

   by · Published 2009年10月5日

• 0

  某セキュリティソフトに存在する脆弱性を検証後、表示するコードを改良してみた

  2020年12月1日

   by blackwingcat · Published 2020年12月1日