ウイルス情報

ウイルス名 危険度

IRC-Bun

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4312
対応定義ファイル
(現在必要とされるバージョン)
4328 (現在7632)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/01/06
発見日(米国日付) 03/12/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・IRC-BunはIRCボットで、攻撃者にさまざまなバックドア機能とフラッド攻撃機能を提供します。IRC-BunはMIRCスクリプトで作成されており、Mirc(パッチ適用バージョン)やその他の外部プログラム、およびDLLファイルを使用します。

・攻撃者は、情報やプログラムのダウンロード/アップロードと実行、実行中のプロセスの終了など感染マシンのハードドライブにアクセスできます。また、オンラインゲームのCDキーや一般的なシステム情報をマシンにクエリします。

・攻撃者は、接続を中継するためにHTTPプロキシ、FTPプロキシ、またはBNCとしてIRC-Bunを使用できます。

・IRC-Bunがコマンドを受けると、IPC$とさまざまな言語で作成された200以上の単純なユーザ名とパスワードの組み合わせを使用してローカルネットワーク内のマシンに接続を試みます。接続に成功すると、ターゲットマシンにMSMOUSE.EXEという名前のファイル(IRC-Bun.dldrとして検出)をコピーし、PSEXEC.EXEファイル(RemoteProcessLaunchアプリケーションとして検出)を使用してこのファイルをリモート実行します。

・IRC-BunはICMPフラッド攻撃、またはUDPフラッド攻撃を仕掛け、IRCチャットルームやLAN/インターネットに接続しているマシンに対してサービス拒否攻撃を開始できます。

・IRCでは、IRC-Bunに内蔵するリスト(9,000以上のニックネームを記載)からランダムに選択した名前を使用します。

・IRC-Bunが実行されると複数のファイルをドロップ(作成)し、システムの起動時にIRC-Bunを実行するように以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run = "lsass"

・以下のサブディレクトリにドロップ(作成)したファイルを書き込みます。

  • %windir%\system32\catroot\user\[..]\

関連ファイル:

ファイル名ファイルサイズ検出名
BOOT.EXE 37.376 RemoteProcessLaunchアプリケーション
DT.EXE 1.409.566 トロイの木馬IRC-Bun.dr
EMPAVMS.EXE 20.992 HideRunアプリケーション
FLOOD.OCX 2.890 トロイの木馬IRC-Bun
JAVA.DLL 75.331 トロイの木馬IRC-Bun
LAN.BAT 104.625 トロイの木馬IRC-Bun
LIBPARSE.EXE 25.600 PrcViewアプリケーション
LSASS.EXE 555.520 トロイの木馬IRC/Flood.mirc
MOO.DLL 34.304 MotherboardMonitorアプリケーション
MSCFG32BIT.EXE 209.408 CCProxyアプリケーション
MSMOUSE.EXE 3.584 トロイの木馬IRC-Bun.dldr
NEWUSER.BAT 7.172 トロイの木馬IRC-Bun
NHTML.DLL 6.656 IRC/Flood.toolアプリケーション
NUB.EXE 20.992 HideRunアプリケーション
REGEDIT.DLL 3.051 トロイの木馬IRC-Bun
RESTART.EXE 37.888 Reboot-Nアプリケーション
SCREEN.DLL 21.667 トロイの木馬IRC-Bun
SIPG.OCX 1.787 トロイの木馬IRC-Bun
SYSBOOT.DLL 584 トロイの木馬IRC-Bun
SYSCONFIG.OCX 4.581 トロイの木馬IRC-Bun
TVCHOST32.EXE 13.312 Targaアプリケーション
UUID.DLL 28.672 CCProxyアプリケーション
WINCMD34.BAT 42.911 トロイの木馬IRC-Bun

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

・IRCサーバへの送信トラフィックが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

・また、攻撃者がIRC-Bunにコマンドを送信して、ローカルネットワーク内のマシンや特定のネットワーク内のマシンにIRC-Bunをコピーすることもできます。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る