Tencent QQ Browser を消した後に残ったファイルが怪しい件について

2019年7月9日

QQ Browser を入れると Chrome 70 が使えると聞いたものの…

QQ Browser を入れると Chrome 70 が使えると聞いたものの…その2

後日談です

アンインストール後、PCをチェックしてて、TsQBDrv.sys というのを見つけました

%APPDATA%\Tencent\QQBrowser にデータを持つ、ドライバーなのですが、QQブラウザ自体に”自称セキュリティ機能が”あるため、このドライバでファイルのチェックをカーネルレベルで行っているようなのですが、アンインストール後もこれが残っているようなのです。

Service名は TsQBDrv なのですが、非表示に設定されているため、サービス一覧には表示されません。

Windows 2000 では、

PsGetProcessPeb
CmRegisterCallback
MmPrefetchPages
CmUnRegisterCallback

に欠陥エクスポートがあるため、動作しませんが、XP以降だと裏でこのサービスが動くわけです。

さらに、%APPDATA% 直下にランダムな１６進数のファイル名を持つ実行ファイルを発見しました

VirusTotal

ウイルストータルでは擬陽性です。

元のファイル名は、 GJFSP_20151119.exe なのですが、ほとんど挙動がマルウエアですね。

おすすめ

• 0

  【悲報】Galaxy Note7を模倣して作られた Xiaomi Note 4、爆発する機能も搭載してる事が発覚

  2017年8月6日

   by blackwingcat · Published 2017年8月6日

• 0

  トレンドマイクロさんのパスワードマネージャーがやばい件について

  2019年6月3日

   by blackwingcat · Published 2019年6月3日

• 6

  JUST インターネットセキュリティの採用した Jiangmin の凄い実力

  2012年2月29日

   by blackwingcat · Published 2012年2月29日