McAfee for Small Businesses

・IRC/Flood.apはIRCベースのトロイの木馬のパッケージで、複数のファイルで構成されています（一部のファイルは、McAfee製品で検出されます）。IRC/Backdoor.gに類似したトロイの木馬です。

・メインパッケージは、自己解凍アーカイブに内蔵されています。この情報掲載時点で、AVERTは以下の2つのアーカイブを受け取っています。

• AZAS.EXE（735,468バイト）
• SECS.EXE（735,544バイト）

・これらののアーカイブは、上記の定義ファイルでIRC/Flood.ap.drとして検出されます。

・SFXアーカイブがターゲットマシンで実行されると、多数のファイルをインストールディレクトリに落とし込みます。ディレクトリ名およびファイル名は変わる可能性がありますが、これまでに判明したパッケージの詳細は以下のとおりです。

%Sysdir%に作成されるインストールディレクトリの例：

• c:\WINNT\system32\zx
• c:\WINNT\system32\zxz

インストールディレクトリに落とし込まれるファイル：

• A.A（40バイト）： 不要なテキストファイル、定義ファイル4211以降でIRC/Flood.apとして検出
• B.A (98 bytes)：不要なテキストファイル
• DETA.EXE（19,968バイト）：HideWindowアプリケーション
• FCONTROL.A（10,104バイト）：IRCスクリプト
• IFCONTROL.A（26,799バイト）：IRCスクリプト
• INCS.BAT（1,854バイト）：バッチスクリプト、さまざまなユーザ名とパスワードの組み合わせでリモートマシン （IPC$共有）接続を試み、接続すると（HideWindowアプリケーション“DETA.EXE”を介して）SENCS.BATファイルを起動、IRC/Backdoor.gとして検出
• PSEXEC.EXE（37,376バイト）：RemoteProcessLaunchアプリケーション
• RCFG.INI（2,432バイト）：IRCスクリプト
• rconnect.conf（315バイト）
• READER.W（105,374バイト）：不要なテキストファイル、検出されない、単なる削除ファイル
• SA.EXE（1,312バイト）： トロイの木馬型ダウンローダ、定義ファイル4211以降でDownloader-AEとして検出、実行されると、リモートサーバから自己解凍アーカイブのトロイの木馬をダウンロード
• SCONTROL.A（2,640バイト）：IRCスクリプト
• SENCS.BAT（2,941バイト）：バッチスクリプト、RemoteProcessLaunchアプリケーションを使用して、リモートマシンでSA.EXEファイル（ダウンローダコンポーネント）を実行
• SYSTREY.EXE（562,688バイト）：ハックされたmIRCクライアント、定義ファイル4252でBackDoor-GIとして検出

注：上記のアプリケーションタイプを検出するには、コマンドラインスキャナ（「/PROGRAMスイッチ」を使用する）、または VirusScan 7（「有害の可能性のあるアプリケーションの検出」を有効にする）を使用してください。詳細については、使用するアプリケーションのそれぞれの検出に関する説明をご覧ください。

・次のレジストリキーを追加して、システムの起動時にハックされたmIRCクライアントを実行します。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  "updateWins" = c:\winnt\system32\zx\systrey.exe

・INCS.BATバッチファイルでは、以下のユーザ名とパスワードの組み合わせが使用されます（ユーザ名、パスワード）。

• Administrator, Administrator
• Administrator, "" (blank)
• test, test
• Administrator, test
• Administrator, test123
• Administrator, temp
• Administrator, temp123
• Administrator, pass
• Administrator, password
• Administrator, admin
• root, root
• Administrator, changeme
• admin, admin