ウイルス情報

ウイルス名 危険度

Downloader-Icug

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5056
対応定義ファイル
(現在必要とされるバージョン)
5057 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Troj_Small.HCK (Trend Micro)
Trojan.Win32.Small.mi (Kaspersky)
W32.Smalltroj.BHXI (Norman)
情報掲載日 2007/06/20
発見日(米国日付) 2007/06/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Duwnloader-IcugはJS/Downloader-AUDによってダウンロードされ、BackDoor-Icugをダウンロードするダウンローダ型トロイの木馬です。

・ダウンロードされるファイルなどの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。

TOPへ戻る

ウイルスの特徴

・このウイルス情報の作成時、Downloader-IcugはJS/Downloader-AUDを介してダウンロードされていました。

JS/Downloader-AUDがターゲットマシンで実行されると、「http://64.38.{非表示}/~ftpcom」に接続し、「file.php」という名前のファイルをダウンロードします。

・このファイルは実際には実行ファイルで、ユーザの目をごまかすために「.php」の拡張子を使用しています。

・ダウンロードされたファイルが実行されると、自身をsvchost.exeに挿入し、さらに「http://64.38.{非表示}/~ftpcom」、「http://194.146.{非表示}/ld/guc」に接続して、以下のフォルダにファイルをダウンロードします。

  • %ProgramFiles%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll
  • %ProgramFiles%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
  • %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\[ランダムなフォルダ]\ld_guc[1].exe
  • %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\[ランダムなフォルダ]\n1[1].exe

・ダウンロードされたファイルはBackDoor-Icugという名前で検出されます。

注:
  • ダウンロードしたファイルを見つかりにくくするため、ファイルの属性が隠しファイルまたはシステムファイルに変更されます。
  • 感染マシン上のファイアウォールソフトウェアからインターネットに接続しようとするBackDoor-Icugについて警告が発せられない場合があります。これは、BackDoor-Icugが自身をsvchost.exeに挿入して、インターネットに接続するためです。
  • %ProgramFiles%、%UserProfile%は可変の場所で、それぞれプログラムファイルフォルダ、ユーザプロファイルフォルダを指しています。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルが存在する場合、Downloader-Icugに感染している可能性があります。

TOPへ戻る

感染方法

・Downloader-IcugはJS/Downloader-AUDによってダウンロードされます。自己複製は行いません。

・その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。

・トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。

IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る