|
詳 細:
「TROJ_FLOOD.BI.DR」は複数の不正プログラムをインストールするための「ウイルスドロッパー」(インストーラー)です。起動されるとWindowsシステムフォルダに "STDE9"という名前のフォルダを作成して複数の不正プログラムファイルをコピーします:
不正プログラム関連ファイル:
- explorer.exe - バックドア型ハッキングツール「BKDR_IRCFLOOD.BI」
- rcfg.ini -「BKDR_IRCFLOOD.BI」が使用するIRCスクリプトファイル。単体の内容では不正なものではありませんのでウイルス検出はありません。
- str.vxd - 「BKDR_IRCFLOOD.BI」が使用するデータファイル。単体の内容では不正なものではありませんのでウイルス検出はありません。
- explore.EXE - 不正プログラム「TROJ_GLITCH.B」
- iiscache.dll - 不正IRCスクリプト「IRC_ZCREW.A」
- SECURE.BAT - 不正プログラム「BAT_ZCREW.A」
- v32driver.bat - 不正プログラム「BAT_ZCREW.A」
- web.swf - 不正プログラム「BAT_ZCREW.A」
不正プログラムでないファイル:
- svchost32.exe - 実行されたプログラムのウインドウを表示させないためのプログラムです。不正プログラムではありませんのでウイルス検出はありません。
- bootdrv.dll - システム情報を表示するための「mIRC」用のアドオンプログラムです。不正プログラムではありませんのでウイルス検出はありません。
- explore.DAT - 単純な設定データを含んだデータファイルです。不正プログラムではありませんのでウイルス検出はありません。
- Libparse.exe - Windowsのプロセスを表示するソフトです。不正プログラムではありませんのでウイルス検出はありません。
- navdb.dbx - 「mIRC」のニックネームを決定する際に使用されるテキストデータです。不正プログラムではありませんのでウイルス検出はありません。
- psexec.exe - telnetと同等の機能を持つ通信プログラムです。外部からの操作を可能にするために使われますが、プログラム自体の機能としては不正なものではありませんのでウイルス検出はありません。
- rconnect.exe - FTPサーバープログラムです。感染コンピュータに対するファイルダウンロード/アップロードを可能にするために利用されますが、プログラム自体の機能としては不正なものではありませんのでウイルス検出はありません。
- rconnect.conf - FTPサーバープログラムである"rconnect.exe"の設定ファイルです。単体の内容では不正なものではありませんのでウイルス検出はありません。
また、Windowsシステムフォルダもしくは"STDE9"フォルダ内に"www"というフォルダを作成し、「RSIRC Webserver for mIRC3」をインストールします。この「RSIRC Webserver for mIRC3」は「mIRC」を利用してファイルの共有を行うためのプログラムであり、不正なものではありません。
・システム改変:
以下の値をWindowsのレジストリに追加します:
場所: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"EXPLORE" = "C:\<Windowsシステムフォルダ>\EXPLORE.exe"
これによって不正プログラム「TROJ_GLITCH.B」がWindows起動毎に自動実行されるように設定されます。
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
Windows 9x/Me の場合
システムフォルダ = C:\Windows\System
Windows NT/2000 の場合
システムフォルダ = C:\WinNT\System32
Windows XP の場合
システムフォルダ = C:\Windows\System32
です。
・DDoS活動:
外部からの操作により、IRCの機能を利用して任意の目標に対して大量にデータを送りつけるネットワーク攻撃を行う機能も持っています。
このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況
ウイルスデータベース検索
このウイルス情報に関して. こちらのアンケートにお答えください。
|
