製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
IRC/Flood.cd
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4267
対応定義ファイル
(現在必要とされるバージョン)
4305 (現在7544)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/05/26
発見日(米国日付)03/05/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・IRC/Flood.cdは、Internet Relay Chat (IRC)ボット/DDoS(分散型サービス拒否)ツールです。詳細は、ハッカーのアクションによって異なります。ハッカーはパッケージを作成し、ドロッパファイルでパッケージを落とし込みます。

・メインのドロッパファイルのサイズは、約850KBです。このファイルが実行されると、ローカルディスクの指定されたディレクトリに一連のファイルを落とし込みます。AVERTに報告された亜種の1つでは、C:\WINNT\INFディレクトリに落とし込みました。

・通常、このフォルダで以下のファイルが解凍されます(注:実際のファイル名およびフィルのサイズは異なる可能性があります)。

  • BOOTNT.DLL(33,792バイト):ターゲットマシンから情報を抽出するアプリケーション。(アプリケーションタイプの検出を有効にすると)MotherboardMonitorアプリケーションとして検出
  • MSVS32.BAT(2,367バイト):トロイの木馬のバッチスクリプト。以下のユーザ名/パスワードの組み合わせで、リモートマシン(IPC$共有)にアクセス
    ユーザ名 パスワード
    (blank) Administrator
    (blank) administrator
    Admin Administrator
    admin Administrator
    Administrator Administrator
    administrator Administrator
    changeme Administrator
    abc Administrator
    abc123 Administrator
    123 Administrator
    1234 Administrator
    12345 Administrator
    123456 Administrator
    321 Administrator
    4321 Administrator
    54321 Administrator
    654321 Administrator
    pass Administrator
    Pass Administrator
    password Administrator
    Password Administrator
    admin Admin
    admin admin
    123 Admin
    1234 Admin
    12345 Admin
    123456 Admin
    321 Admin
    4321 Admin
    54321 Admin
    654321 Admin
    (blank) root
    root root
    Student Student
    student student
    Teacher Teacher
    teacher teacher
    Test Test
    test test
    User User
    user user
    guest Guest
  • NTLIB32.EXE(25,600バイト):表示/管理プロセスを実行するアプリケーション。(アプリケーションタイプの検出を有効にすると)PrcViewアプリケーションとして検出
  • NTNWSYS.OCX(3,064バイト):トロイの木馬のIRCスクリプト。IRC/Flood.cdとして検出
  • NTZM32.DLL(44,585バイト):トロイの木馬のIRCスクリプト。IRC/Flood.cdとして検出。以下のテキストを含む
    blue-fuzion bot
    blue-fuzion bot crew owns you
  • NWBT32.BAT(1,249バイト):共有を削除するトロイの木馬のバッチスクリプト。IRC/Flood.cdとして検出
  • PCC32.EXE(38,400バイト):RemoteProcessLaunch application
  • SMC32.EXE(20,480バイト):mIRCクライアントのGUIを隠蔽するHideWindow application
  • TSKDBG.EXE(560,128バイト):mIRCクライアント。IRC/Flood.cd.mircとして検出

・多くの場合、mIRCクライアントがインストールされると、レジストリキーを作成してシステムの起動時に自身を実行します。

レジストリキーの例:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "taskdebug" = C:\WINNT\INF\TSKDBG.EXE

    (レジストリキー名、mIRCクライアントのディレクトリ、およびmIRCクライアントのファイル名は、それぞれ異なります。)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・感染したマシンのディレクトリに、上記のファイルが存在します。

・予期しない、リモートIRCサーバへの送信トラフィックが存在します。(宛先ポート番号:6667)

感染方法TOPへ戻る

・IRC/Flood.cdは、SFXドロッパファイルでインストールされます。ドロッパファイルは、電子メール、ダウンロード、ピアツーピアネットワークなどのさまざまなチャネルで配布されます。