McAfee for Small Businesses

・IRC-BBotは、定義ファイル4245（6ヵ月前に発行）以降を使用し、4.2.40+スキャンエンジンでプログラムヒューリスティックスキャンを有効にして圧縮ファイルをスキャンすると、検出されます。

・IRC-BBotはIRC ボット型トロイの木馬です。実行されると、自身をローカルシステムにインストールし、リモートIRCサーバにアクセスします。特定のチャネルに参加して、攻撃者からの指示を待ちます。IRC-BBotは文字列のリストを含み、さまざまな脆弱性を検索します。IRC-BBotの新しいリリースは、最近のRPC Interface Buffer Overflow (7.17.03) の脆弱性を利用するように作成されていました。

・実行されると、IRC-BBotは、以下のように自身をサービスとしてインストールします。

名前：ctrmons
表示名：Office XP Alternative User Input features.
説明：Monitors the active windows and provides text input service support for speech recognition, handwriting recognition, keyboard, translation, and other alternative user input technologies.

・詳細は以下のレジストリにあります。

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ctrmons

・IRC-BBotはキーロガーを含んでいます。入力されたキーストロークとウィンドウのタイトルを取得して、webcldt.dllというファイル名でWINDOWS SYSTEM (%SysDir%) ディレクトリに保存します。

・IRC-BBotには、以下の機能もあります。

• IRC機能（Say、Join、Part、Kickなど）
• コンソールコマンドの実行
• システム情報の取得（IPアドレス、使用可能時間、Windowsのバージョン、CPU、RAMなど）
• システムの再起動
• サービス拒否（DoS)攻撃を仕掛ける
• 脆弱性の検索（Web Server Folder Traversalの脆弱性、WebDAV、FTPやWindows共有の単純なユーザ名とパスワードの組み合わせなど）
• ファイルのダウンロードおよび実行