ウイルス情報

ウイルス名 危険度

IRC/Flood.gen.h

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5855
対応定義ファイル
(現在必要とされるバージョン)
5857 (現在7634)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2010/02/18
発見日(米国日付) 2010/01/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・IRC/Flood.gen.hはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・実行時、以下のファイルをドロップ(作成)します。

%System%\nvsv32.exe - 自身のコピー
%AppData%\SystemProc\lsass.exe - IRC/flood
c:\confin.sys
%ProgramFiles%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
%ProgramFiles%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%ProgramFiles%\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf

・また、以下のフォルダにランダムな名前(Ad-aware 2009.exe、BitDefender AntiVirus 2009 Keygeなどのウイルス対策ソフトウェア名)で自身をコピーします。

%ProgramFiles%\Grokster\My Grokster
%ProgramFiles%\LimeWire\Shared
%ProgramFiles%\Morpheus\My Shared Folder

・以下のフォルダが追加されます。
c:\Documents and Settings\Administrator\Application Data\SystemProc
c:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}
c:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome
c:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content

・以下のレジストリキーが追加されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Nvidia3
HKEY_CURRENT_USER\Software\Microsoft\Nvidia3

・以下のレジストリの値が追加されます。
HKEY_CURRENT_USER\Identities
Curr version = "10"
Last Date = "9-1-2010 emProc\lsass.exe"
Inst Date = "9-1-2010"
Popup count = "0"
Popup time = "0"
Popup date = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "NVIDIA Driver Helper Service" "C:\WINDOWS\system32\nvsv32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "RTHDBPL" "C:\Documents and Settings\Administrator\Application Data\SystemProc\lsass.exe "

・ファイアウォールアプリケーションを回避するため、ファイアウォールのポリシーを改変します。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplication s\List "C:\WINDOWS\system32\nvsv32.exe" " C:\WINDOWS\system32\nvsv32.exe:*:Enabled:Explorer"

・以下のシステムサービスが改変(停止)されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc "Start" "02, 00, 00, 00" "04, 00, 00, 00"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc "Start" "02, 00, 00, 00" "04, 00, 00, 00"

・ポート25を介して以下のIPに接続してスパムをリレーします。これらのIPは正規のアプリケーションによって使われることもあります。

74.125.148.13 (psmtp.com)
82.103.137.214 (mail2.informaction.com )
64.18.7.10 (s8a1.psmtp.com)
213.165.64.20 (mail.gmx.net)

・また、以下のDNSクエリを実行します。

209.85.231.147 (maa03s01-in-f147.1e100.net)
216.239.32.10 (ns1.google.com)
82.103.134.102 (ariel.informaction.com)

・以下のURLで識別されたデータがリモートWebサーバからリクエストされます。
http://whatismyip.com/automation/n09230945.asp
http://controllmx.com/inst.php?aid=blackout

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。
  • 外部との疑わしいネットワークトラフィックが発生します。

TOPへ戻る

感染方法

  • IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る