ウイルス情報

ウイルス名 危険度

IRC-Scanbot

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4364
対応定義ファイル
(現在必要とされるバージョン)
4367 (現在7633)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/06/03
発見日(米国日付) 04/05/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・IRC-Scanbotは、共有ホッピング、リモートアクセス機能を持つ、IRC bot型のトロイの木馬です。

インストール

・IRC-Scanbotが動作すると、以下のファイル名を使用して、ローカルシステムに自身をインストールします。
  • %SysDir% \drivers\csrss.exe
  • %SysDir% \system32\csrss.dll

・(%SysDir%はシステムにセットアップされているWindows Systemディレクトリ。たとえば、XPのデフォルトはc:\WINDOWS\system32になります。)

・IRC-Scanbotは、起動時にトロイの木馬を実行するため、以下のレジストリ項目を作成します。ただし、この部分は作者の意図通りに機能しません。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "DumpFaultCheck" = %SysDir%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "DumpFaultCheck" = %SysDir%

・実際には、問題のあるマシンを再起動すると、Windows Systemディレクトリが開きます。

・IRC-Scanbotは、DLLファイルを実行するよう、以下のレジストリ項目も修正します。ただし、テストでは機能しませんでした。
  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32

・通常、この項目には、「%SystemRoot%\System32\webcheck.dll」という値が含まれます。

・匿名ユーザがパスワード情報、ユーザリスト、ネットワーク共有にアクセスできないようにするため、以下のレジストリ項目を修正します。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous" = 2(デフォルトでは、この値は0になります)
・また、SAMアカウントが列挙されないよう、以下のレジストリ項目も作成または修正します。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"restrictanonymousSam" = 1
・デフォルトでWindowsによって作成される管理者共有を削除するため、以下のレジストリ項目を作成または修正します。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters "AutoShareServer" = 0
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters "AutoShareWks" = 0

リモートアクセスコンポーネント

・IRC-Scanbotは、リモートIRCサーバに接続し、攻撃者からの指示を待機します。たとえば、以下の動作を実行します。
  • さまざまなIRCコマンドの実行
  • ファイルの実行
  • 自身のアップデートを含むファイルのダウンロード
  • システム情報(アップタイム、CPU、RAM、OSのバージョン、ユーザ名など)の報告
  • 問題のあるシステムの再起動
  • プロセスの終了
・また、IRC-Scanbotには、特定のユーザ名とパスワードの組み合わせを持つマシンを探すため、大量のIPをスキャンする長い文字列のリストが組み込まれています。自身をこれらのマシンにコピーして、ユーザー名とパスワードを検出する可能性があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。
  • システムの再起動時にWindows Systemディレクトリが予期せず開きます。
  • 予期しないネットワークトラフィックが発生します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る