McAfee for Small Businesses

・IRC-VupはIRCトロイの木馬で、正規のアプリケーションを含む複数のコンポーネントで構成されます。自己解凍するドロッパによって落とし込まれます。

・自己解凍するドロッパのサイズとファイル名はさまざまです（AVERTの受け取ったサンプルは、LOADPT.EXEという778,024バイトのファイルでした）。ターゲットマシン上でドロッパが実行されると、多数のファイルが落とし込まれます（テストでは、temporaryディレクトリに落とし込まれました）。

・以下のファイルが落とし込まれます（注：実際に落とし込まれるファイル名とサイズは異なることがあります）。

• FIREDAEMON.EXE (81,920バイト)：Windows NT/2000マシン上にサービスをインストールする正規のアプリケーション、FireDaemonアプリケーションとして検出
• PROXY99.EXE (141,828バイト)：正規のプロキシアプリケーション、AnalogX-Proxyアプリケーションとして検出
• PSEXEC.EXE (122,880バイト)：リモートマシンでプロセスを起動する正規のアプリケーション、RemoteProcessLaunchアプリケーションとして検出
• SVCHOST.EXE (1,616,384バイト)：mIRCクライアントアプリケーション、IRC/Clientアプリケーションとして検出
• MIRC.INI (3,540バイト)：mIRC設定スクリプト
• SERVERS.INI (171バイト)：mIRC設定スクリプト
• SCRIPT.INI (3,074バイト)：mIRC設定スクリプト、以下のようなさまざまなコマンドでIRC-Vupの活動を基本的に制御
1. status：IRC-Vupのステータスを報告
2. getlog：SCAN.TXTファイル（プロキシサーバのアップロードに成功したマシンのIPアドレスを記載）
3. clearlog：上記のログを消去
4. scan：脆弱なマシンを検索
• REMOTE.INI (161バイト)：mIRC設定スクリプト
• WIN2K.BAT (748バイト)：バッチスクリプト、システムユーティリティファイルNBTSTAT.EXEでローカルネットワークからユーザ名を取得、取得したユーザ名はTEST.BATファイル（下記参照）がリモートマシンのC$共有へのアクセスに使用、アクセスに成功すると、プロキシサーバ（PROXY99.EXEファイル）をリモートマシンにアップロードし、SCAN.TXTファイルを%IP%:6588でアップデート（“%IP%”は、リモートマシンのIPアドレス、“6588”は上記のプロキシアプリケーションが開いたポートの1つ）
• TEST.BAT (96バイト)：上記参照