製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:I
ウイルス情報
ウイルス名危険度
IRC-Demfire
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4247
対応定義ファイル
(現在必要とされるバージョン)
4336 (現在7515)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Backdoor.Tkbot (Symantec) :Troj/TKBot-A (Sophos)
亜種
情報掲載日03/02/13
発見日(米国日付)03/02/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・IRC-Demfire は、IRCをベースにしたリモートアクセス型トロイの木馬の検出結果です。これは正規のアプリケーションを含むいくつかのコンポーネントから構成されています。

・このトロイの木馬は脆弱なマシンに自身をインストールするために、Microsoft IISの脆弱性を利用します。詳しい情報および関連するパッチはWeb Server Folder Traversal' Vulnerability - MS00-078 をご覧ください。

・感染マシンで起動すると、バックドアがハッカーからの待機コマンドをうけるのために、IRCコンフィグファイル内に定義済みのIRCチャネルに参加します。これらのコマンドは、以下のようにハッカーが感染マシンで様々な機能を実行することを可能にします。

・マシン情報の収集(例:メモリ、ディスク容量、プロセッサーなど)
・マシンへのアップロード、ダウンロード。マシンからのアップロード、ダウンロード。
・マシン上でファイルを実行
・ポートスキャンを実行

・さらに、このトロイの木馬と同様に関連する、サービス拒否攻撃の破壊活動があります。このIRC設定スクリプトは指定のウェブサイトを何度も攻撃する指示を内包しています。このサービス拒否攻撃の破壊活動は、特定の日付の間(2002年11月10日、日曜日の12:00:00 〜 12:01:40の間 )、またはバックドアが11回目(これはAVERTがこのウイルスのサンプルを受け取った時の回数ですが、何回目であるかはあまり問題ではありません。)の再起動をした時に実行されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・下記の「感染方法」にあるようなディレクトリ、ファイルが存在する。

・ポート6667を目的地としたIRCサーバへの送信トラフィックがある。

感染方法TOPへ戻る

・このトロイの木馬のパッケージは自己解凍実行ファイルとして受信される可能性があります。起動すると、大量のファイルを落とし込みます。ターゲットとなるディレクトリはさまざまですが、AVERTが受け取ったサンプルによると、今のところこのファイルは以下のディレクトリに落とし込みます。

・C:\PROGRA~1\MICROSOFT\UPDATE\DLL\TK
C:\WINNT\SYSTEM32\SHELLEXT\SYSTEM\TK

・感染マシンに書き込まれたファイルは、以下のような内容で現れると思われます。

・RUNDLL.EXE (573,440 バイト)− 一般的な正規のFTPサーバアプリケーションです。これは ServU-Daemon application として検出されます。

・MSTASKMGR.EXE または SVCHOST.EXE (601,600 バイト) - これは改ざんされたIRCクライアントアプリケーションで、NT/2k/XP マシンのサービスとして実行されます。このコンポーネントはプログラムスイッチでFireDaemon アプリケーションとして検出されます。

・FIREDAEMON.EXE (81,920 バイト) − アプリケーションがNT/2k/XP マシンのサービスとしてインストール、実行することを可能にする正規のユーティリティです。このコンポーネントはプログラムスイッチでFireDaemon アプリケーションとして検出されます。このユーティリティは上記の2つのアプリケーションのサービスとしてインストール、起動ユーティリティとして利用されます。

・以下の2つのエントリーは、サービスリストがインストール後に見えるようにします。

・1.Name = FireDaemon Service: Rundll, Description = blank
2.Name = FireDaemon Service: scvhost, Description = blank

・TASK.CNF (18-32 キロバイト) − これはトロイの木馬の機能性を定義するmIRCスクリプトです。これは指定されたDATファイルで、 IRC-Demfire として検出されます。

・TK00.TMP (~2577-2594 バイト) − これはIRC設定ファイルで、 これは指定されたDATファイルで、 IRC-Demfire として検出されます。

・START.BAT or SCV.BAT (~2711-2800 バイト) − これは以下のようなパッケージのインストールを促すバッチファイルです。
1.FIREDAEMON.EXEファイルを使用してサービスをインストール
2.リネームしたDELTREE.EXEファイルを使用して、C:\INETPUB\SCRIPTS 内のすべてのスクリプトを削除。その後、”new SCRIPTS”ディレクトリを作成。
3.指定ディレクトリにさまざまなシステムユーティリティの出力を配管。

・D.EXE (19,083 バイト) − DELTREE.EXE というファイル名でリネームされた正規のシステムユーティリティ。これは上記のバッチファイルによって使用されます。検出はされません。

・SERVUCERT.CRT & SERVUCERT.KEY (973 & 963 バイト )− ServU-Daemon アプリケーションに関連する、無害の暗号化ファイルです。検出はされません。

・SERVUDAEMON.INI (2,315 バイト) − ServU-Daemon アプリケーションのためのINIファイルです。検出はされません。

・WAIT.COM (5,239 バイト) − CHOICE.COM という名前でリネームされたシステムユーティリティです。検出はされません。

・FPORT.EXE (114,688 バイト) − これは、未知のポートをクエリーする便利ツールのプロセスをマッピングするアプリケーションです。検出はされません。これはトロイの木馬パッケージで、感染マシンから情報を取り出すために使用されます。出力はハッカーがアクセスするためのテキストファイルへリダイレクトします。

駆除方法TOPへ戻る

・まずは下記の2つのサービスをストップして下さい。

  • FireDaemon Service: Rundll
  • FireDaemon Service: svchost
  • ・その後、指定のエンジンとウイルス定義ファイルを使って検索して下さい。

    ・ファイルは様々な場所にあり、パッケージに含まれる無害のファイルは検出されないこともあるので、IRC-Demfire.batとして検出されるバッチファイルを精査することが最も簡単なこのトロイの木馬の除去方法かもしれません。

    ・Windows ME/XPの駆除ヒントはここをご覧ください。