製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
IRC/Flood.gen.h
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5855
対応定義ファイル
(現在必要とされるバージョン)
5857 (現在7607)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2010/02/18
発見日(米国日付)2010/01/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・IRC/Flood.gen.hはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・実行時、以下のファイルをドロップ(作成)します。

%System%\nvsv32.exe - 自身のコピー
%AppData%\SystemProc\lsass.exe - IRC/flood
c:\confin.sys
%ProgramFiles%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
%ProgramFiles%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%ProgramFiles%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf

・また、以下のフォルダにランダムな名前(Ad-aware 2009.exe、BitDefender AntiVirus 2009 Keygeなどのウイルス対策ソフトウェア名)で自身をコピーします。

%ProgramFiles%\Grokster\My Grokster
%ProgramFiles%\LimeWire\Shared
%ProgramFiles%\Morpheus\My Shared Folder

・以下のフォルダが追加されます。
c:\Documents and Settings\Administrator\Application Data\SystemProc
c:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}
c:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome
c:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content

・以下のレジストリキーが追加されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Nvidia3
HKEY_CURRENT_USER\Software\Microsoft\Nvidia3

・以下のレジストリの値が追加されます。
HKEY_CURRENT_USER\Identities
Curr version = "10"
Last Date = "9-1-2010 emProc\lsass.exe"
Inst Date = "9-1-2010"
Popup count = "0"
Popup time = "0"
Popup date = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "NVIDIA Driver Helper Service" "C:\WINDOWS\system32\nvsv32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "RTHDBPL" "C:\Documents and Settings\Administrator\Application Data\SystemProc\lsass.exe "

・ファイアウォールアプリケーションを回避するため、ファイアウォールのポリシーを改変します。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplication s\List "C:\WINDOWS\system32\nvsv32.exe" " C:\WINDOWS\system32\nvsv32.exe:*:Enabled:Explorer"

・以下のシステムサービスが改変(停止)されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc "Start" "02, 00, 00, 00" "04, 00, 00, 00"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc "Start" "02, 00, 00, 00" "04, 00, 00, 00"

・ポート25を介して以下のIPに接続してスパムをリレーします。これらのIPは正規のアプリケーションによって使われることもあります。

74.125.148.13 (psmtp.com)
82.103.137.214 (mail2.informaction.com )
64.18.7.10 (s8a1.psmtp.com)
213.165.64.20 (mail.gmx.net)

・また、以下のDNSクエリを実行します。

209.85.231.147 (maa03s01-in-f147.1e100.net)
216.239.32.10 (ns1.google.com)
82.103.134.102 (ariel.informaction.com)

・以下のURLで識別されたデータがリモートWebサーバからリクエストされます。
http://whatismyip.com/automation/n09230945.asp
http://controllmx.com/inst.php?aid=blackout

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • 外部との疑わしいネットワークトラフィックが発生します。

感染方法TOPへ戻る
  • IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足