製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
IRC/Flood.ap
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4251
対応定義ファイル
(現在必要とされるバージョン)
4251 (現在7401)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Q8Hell: W32/Randon.worm (AVP)
情報掲載日03/03/03
発見日(米国日付)03/03/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・IRC/Flood.apはIRCベースのトロイの木馬のパッケージで、複数のファイルで構成されています(一部のファイルは、McAfee製品で検出されます)。IRC/Backdoor.gに類似したトロイの木馬です。

・メインパッケージは、自己解凍アーカイブに内蔵されています。この情報掲載時点で、AVERTは以下の2つのアーカイブを受け取っています。

  • AZAS.EXE(735,468バイト)
  • SECS.EXE(735,544バイト)

・これらののアーカイブは、上記の定義ファイルでIRC/Flood.ap.drとして検出されます。

・SFXアーカイブがターゲットマシンで実行されると、多数のファイルをインストールディレクトリに落とし込みます。ディレクトリ名およびファイル名は変わる可能性がありますが、これまでに判明したパッケージの詳細は以下のとおりです。

%Sysdir%に作成されるインストールディレクトリの例:

  • c:\WINNT\system32\zx
  • c:\WINNT\system32\zxz

インストールディレクトリに落とし込まれるファイル:

  • A.A(40バイト): 不要なテキストファイル、定義ファイル4211以降でIRC/Flood.apとして検出
  • B.A (98 bytes):不要なテキストファイル
  • DETA.EXE(19,968バイト):HideWindowアプリケーション
  • FCONTROL.A(10,104バイト):IRCスクリプト
  • IFCONTROL.A(26,799バイト):IRCスクリプト
  • INCS.BAT(1,854バイト):バッチスクリプト、さまざまなユーザ名とパスワードの組み合わせでリモートマシン (IPC$共有)接続を試み、接続すると(HideWindowアプリケーション“DETA.EXE”を介して)SENCS.BATファイルを起動、IRC/Backdoor.gとして検出
  • PSEXEC.EXE(37,376バイト):RemoteProcessLaunchアプリケーション
  • RCFG.INI(2,432バイト):IRCスクリプト
  • rconnect.conf(315バイト)
  • READER.W(105,374バイト):不要なテキストファイル、検出されない、単なる削除ファイル
  • SA.EXE(1,312バイト): トロイの木馬型ダウンローダ、定義ファイル4211以降でDownloader-AEとして検出、実行されると、リモートサーバから自己解凍アーカイブのトロイの木馬をダウンロード
  • SCONTROL.A(2,640バイト):IRCスクリプト
  • SENCS.BAT(2,941バイト):バッチスクリプト、RemoteProcessLaunchアプリケーションを使用して、リモートマシンでSA.EXEファイル(ダウンローダコンポーネント)を実行
  • SYSTREY.EXE(562,688バイト):ハックされたmIRCクライアント、定義ファイル4252でBackDoor-GIとして検出

注:上記のアプリケーションタイプを検出するには、コマンドラインスキャナ(「/PROGRAMスイッチ」を使用する)、または VirusScan 7(「有害の可能性のあるアプリケーションの検出」を有効にする)を使用してください。詳細については、使用するアプリケーションのそれぞれの検出に関する説明をご覧ください。

・次のレジストリキーを追加して、システムの起動時にハックされたmIRCクライアントを実行します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "updateWins" = c:\winnt\system32\zx\systrey.exe

・INCS.BATバッチファイルでは、以下のユーザ名とパスワードの組み合わせが使用されます(ユーザ名、パスワード)。

  • Administrator, Administrator
  • Administrator, "" (blank)
  • test, test
  • Administrator, test
  • Administrator, test123
  • Administrator, temp
  • Administrator, temp123
  • Administrator, pass
  • Administrator, password
  • Administrator, admin
  • root, root
  • Administrator, changeme
  • admin, admin

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

・TCPポート6667に予期しないネットワークトラフィックが存在します。

感染方法TOPへ戻る

・IRC/Flood.apはトロイの木馬のパッケージで、複数のファイルで構成されています(一部のファイルは、正規のアプリケーションです)。機能の主要部分は、ダウンローダ、リモートプロセスランチャ、mIRCクライアント、IRCスクリプトなどのコンポーネントを組み合わせたものです。