・IRC-BunはIRCボットで、攻撃者にさまざまなバックドア機能とフラッド攻撃機能を提供します。IRC-BunはMIRCスクリプトで作成されており、Mirc(パッチ適用バージョン)やその他の外部プログラム、およびDLLファイルを使用します。
・攻撃者は、情報やプログラムのダウンロード/アップロードと実行、実行中のプロセスの終了など感染マシンのハードドライブにアクセスできます。また、オンラインゲームのCDキーや一般的なシステム情報をマシンにクエリします。
・攻撃者は、接続を中継するためにHTTPプロキシ、FTPプロキシ、またはBNCとしてIRC-Bunを使用できます。
・IRC-Bunがコマンドを受けると、IPC$とさまざまな言語で作成された200以上の単純なユーザ名とパスワードの組み合わせを使用してローカルネットワーク内のマシンに接続を試みます。接続に成功すると、ターゲットマシンにMSMOUSE.EXEという名前のファイル(IRC-Bun.dldrとして検出)をコピーし、PSEXEC.EXEファイル(RemoteProcessLaunchアプリケーションとして検出)を使用してこのファイルをリモート実行します。
・IRC-BunはICMPフラッド攻撃、またはUDPフラッド攻撃を仕掛け、IRCチャットルームやLAN/インターネットに接続しているマシンに対してサービス拒否攻撃を開始できます。
・IRCでは、IRC-Bunに内蔵するリスト(9,000以上のニックネームを記載)からランダムに選択した名前を使用します。
・IRC-Bunが実行されると複数のファイルをドロップ(作成)し、システムの起動時にIRC-Bunを実行するように以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run = "lsass"
・以下のサブディレクトリにドロップ(作成)したファイルを書き込みます。
- %windir%\system32\catroot\user\[..]\
関連ファイル:
| ファイル名 | ファイルサイズ | 検出名 |
| BOOT.EXE | 37.376 | RemoteProcessLaunchアプリケーション |
| DT.EXE | 1.409.566 | トロイの木馬IRC-Bun.dr |
| EMPAVMS.EXE | 20.992 | HideRunアプリケーション |
| FLOOD.OCX | 2.890 | トロイの木馬IRC-Bun |
| JAVA.DLL | 75.331 | トロイの木馬IRC-Bun |
| LAN.BAT | 104.625 | トロイの木馬IRC-Bun |
| LIBPARSE.EXE | 25.600 | PrcViewアプリケーション |
| LSASS.EXE | 555.520 | トロイの木馬IRC/Flood.mirc |
| MOO.DLL | 34.304 | MotherboardMonitorアプリケーション |
| MSCFG32BIT.EXE | 209.408 | CCProxyアプリケーション |
| MSMOUSE.EXE | 3.584 | トロイの木馬IRC-Bun.dldr |
| NEWUSER.BAT | 7.172 | トロイの木馬IRC-Bun |
| NHTML.DLL | 6.656 | IRC/Flood.toolアプリケーション |
| NUB.EXE | 20.992 | HideRunアプリケーション |
| REGEDIT.DLL | 3.051 | トロイの木馬IRC-Bun |
| RESTART.EXE | 37.888 | Reboot-Nアプリケーション |
| SCREEN.DLL | 21.667 | トロイの木馬IRC-Bun |
| SIPG.OCX | 1.787 | トロイの木馬IRC-Bun |
| SYSBOOT.DLL | 584 | トロイの木馬IRC-Bun |
| SYSCONFIG.OCX | 4.581 | トロイの木馬IRC-Bun |
| TVCHOST32.EXE | 13.312 | Targaアプリケーション |
| UUID.DLL | 28.672 | CCProxyアプリケーション |
| WINCMD34.BAT | 42.911 | トロイの木馬IRC-Bun |
