・このトロイの木馬のパッケージは自己解凍実行ファイルとして受信される可能性があります。起動すると、大量のファイルを落とし込みます。ターゲットとなるディレクトリはさまざまですが、AVERTが受け取ったサンプルによると、今のところこのファイルは以下のディレクトリに落とし込みます。
・C:\PROGRA~1\MICROSOFT\UPDATE\DLL\TK
C:\WINNT\SYSTEM32\SHELLEXT\SYSTEM\TK
・感染マシンに書き込まれたファイルは、以下のような内容で現れると思われます。
・RUNDLL.EXE (573,440 バイト)− 一般的な正規のFTPサーバアプリケーションです。これは ServU-Daemon application として検出されます。
・MSTASKMGR.EXE または SVCHOST.EXE (601,600 バイト) - これは改ざんされたIRCクライアントアプリケーションで、NT/2k/XP マシンのサービスとして実行されます。このコンポーネントはプログラムスイッチでFireDaemon アプリケーションとして検出されます。
・FIREDAEMON.EXE (81,920 バイト) − アプリケーションがNT/2k/XP マシンのサービスとしてインストール、実行することを可能にする正規のユーティリティです。このコンポーネントはプログラムスイッチでFireDaemon アプリケーションとして検出されます。このユーティリティは上記の2つのアプリケーションのサービスとしてインストール、起動ユーティリティとして利用されます。
・
・以下の2つのエントリーは、サービスリストがインストール後に見えるようにします。
・1.Name = FireDaemon Service: Rundll, Description = blank
2.Name = FireDaemon Service: scvhost, Description = blank
・TASK.CNF (18-32 キロバイト) − これはトロイの木馬の機能性を定義するmIRCスクリプトです。これは指定されたDATファイルで、 IRC-Demfire として検出されます。
・TK00.TMP (~2577-2594 バイト) − これはIRC設定ファイルで、 これは指定されたDATファイルで、 IRC-Demfire として検出されます。
・START.BAT or SCV.BAT (~2711-2800 バイト) − これは以下のようなパッケージのインストールを促すバッチファイルです。
1.FIREDAEMON.EXEファイルを使用してサービスをインストール
2.リネームしたDELTREE.EXEファイルを使用して、C:\INETPUB\SCRIPTS 内のすべてのスクリプトを削除。その後、”new SCRIPTS”ディレクトリを作成。
3.指定ディレクトリにさまざまなシステムユーティリティの出力を配管。
・D.EXE (19,083 バイト) − DELTREE.EXE というファイル名でリネームされた正規のシステムユーティリティ。これは上記のバッチファイルによって使用されます。検出はされません。
・SERVUCERT.CRT & SERVUCERT.KEY (973 & 963 バイト )− ServU-Daemon アプリケーションに関連する、無害の暗号化ファイルです。検出はされません。
・SERVUDAEMON.INI (2,315 バイト) − ServU-Daemon アプリケーションのためのINIファイルです。検出はされません。
・WAIT.COM (5,239 バイト) − CHOICE.COM という名前でリネームされたシステムユーティリティです。検出はされません。
・FPORT.EXE (114,688 バイト) − これは、未知のポートをクエリーする便利ツールのプロセスをマッピングするアプリケーションです。検出はされません。これはトロイの木馬パッケージで、感染マシンから情報を取り出すために使用されます。出力はハッカーがアクセスするためのテキストファイルへリダイレクトします。
