・IRC-Scanbotは、共有ホッピング、リモートアクセス機能を持つ、IRC bot型のトロイの木馬です。
インストール
・IRC-Scanbotが動作すると、以下のファイル名を使用して、ローカルシステムに自身をインストールします。
- %SysDir% \drivers\csrss.exe
- %SysDir% \system32\csrss.dll
・(%SysDir%はシステムにセットアップされているWindows Systemディレクトリ。たとえば、XPのデフォルトはc:\WINDOWS\system32になります。)
・IRC-Scanbotは、起動時にトロイの木馬を実行するため、以下のレジストリ項目を作成します。ただし、この部分は作者の意図通りに機能しません。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "DumpFaultCheck" = %SysDir%
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "DumpFaultCheck" = %SysDir%
・実際には、問題のあるマシンを再起動すると、Windows Systemディレクトリが開きます。
・IRC-Scanbotは、DLLファイルを実行するよう、以下のレジストリ項目も修正します。ただし、テストでは機能しませんでした。
- HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
・通常、この項目には、「%SystemRoot%\System32\webcheck.dll」という値が含まれます。
・匿名ユーザがパスワード情報、ユーザリスト、ネットワーク共有にアクセスできないようにするため、以下のレジストリ項目を修正します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous" = 2(デフォルトでは、この値は0になります)
・また、SAMアカウントが列挙されないよう、以下のレジストリ項目も作成または修正します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"restrictanonymousSam" = 1
・デフォルトでWindowsによって作成される管理者共有を削除するため、以下のレジストリ項目を作成または修正します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters "AutoShareServer" = 0
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters "AutoShareWks" = 0
リモートアクセスコンポーネント
・IRC-Scanbotは、リモートIRCサーバに接続し、攻撃者からの指示を待機します。たとえば、以下の動作を実行します。
- さまざまなIRCコマンドの実行
- ファイルの実行
- 自身のアップデートを含むファイルのダウンロード
- システム情報(アップタイム、CPU、RAM、OSのバージョン、ユーザ名など)の報告
- 問題のあるシステムの再起動
- プロセスの終了
・また、IRC-Scanbotには、特定のユーザ名とパスワードの組み合わせを持つマシンを探すため、大量のIPをスキャンする長い文字列のリストが組み込まれています。自身をこれらのマシンにコピーして、ユーザー名とパスワードを検出する可能性があります。
