McAfee for Small Businesses

・この情報は、IRCベースで作成された一連の悪質なソフトウェアに関する一般的な情報です。これらのソフトウェアの特徴は、以下のとおりです。

• mIRCベースの悪質なソフトウェアのパッケージで、複数のファイル（一部は正規のシステムユーティリティ）で構成
• IRCを介したリモートコマンドに応じてネットワークをスキャンし、BATスクリプトを使用してセキュリティの不十分なネットワーク共有に接続。接続に成功すると、正規のRemoteProcessLaunchアプリケーションを使用して、リモートシェアでドロッパを実行

総称による検出

・McAfee製品は、これらの複数のコンポーネントで構成されるパッケージに含まれる各種のファイルに対応済みです。代表的なファイルは、以下のとおりです。

• RemoteProcessLaunchアプリケーション：セキュリティが不十分な共有におけるパッケージの繁殖に必要。定義ファイル4236（2002年12月4日発行）以降で検出
• HideWindowアプリケーション：mIRCクライアントのウインドウを隠蔽。定義ファイル4269（2003年4月4日発行）以降で検出
• mIRCクライアント：悪質なソフトウェアの機能の中核を担う

・IRC/Flood.dzが実行されると、ドロッパがディレクトリを作成して、そのディレクトリにファイルを複数抽出します。抽出するファイルのファイル名とサイズはさまざまですが、以下のカテゴリに分類できます。

• IRCスクリプトファイル：さまざまなトロイの木馬の活動を指示
• mIRC設定ファイル
• バッチファイル：リモートログイン/起動
• mIRC実行ファイル：リモート接続/アクセス
• トロイの木馬型ダウンローダ（この場合はDownloader-AE）
• RemoteProcessLaunchアプリケーション
• HideWindowアプリケーション
• PrcViewアプリケーション

・バッチファイルは、よく使用される単純なユーザ名とパスワードの組み合わせで、リモートのADMIN$およびIPC$共有に接続を試みます。以下のような単純なユーザ名とパスワードの組み合わせ（および、類する組み合わせ）は使用しないでください。

ユーザ名	パスワード
student	student
teacher	teacher
administrator	1, 123, 12345 etc
administrator	a, ab, abc, abcd etc
user	user
test	test

・感染したマシンを慎重に調べてください。IRC/Floodのドロッパは新しいファイルで再パッケージされることが多いので、攻撃者が他のハッカーツールやバックドアをインストールした可能性があります。

・システムにmIRCがインストールされている場合は、インストールした製品からトロイの木馬がドロップ（作成）したバージョンにレジストリエントリをリダイレクトします。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 感染方法