ウイルス情報

ウイルス名 危険度

IRC-Yoink

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4249
対応定義ファイル
(現在必要とされるバージョン)
4328 (現在7634)
対応エンジン 4.1.50以降 (現在5600) 
エンジンバージョンの見分け方
別名 SSBoT: Vortex
情報掲載日 03/02/18
発見日(米国日付) 03/02/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・IRC-Yoinkは、悪意のある32ビットのPEバイナリファイルです。ファイル名は“SYSCLEAN.EXE”で、Borland Delphiで作成されています(ファイル名は異なることがあります。)ファイルサイズは330,615バイト(10進数)で、NeoLiteで圧縮されています。

・テスト環境では、このウイルスはあまり活発に活動しませんでした。環境によってはあまり活動しないのかもしれません。

・IRC-Yoinkは、TCPポート6667を使用してIRCサーバに接続します。圧縮されたファイルは、“VorteX IRCを使用”“Vortex v2.5を使用”などのコメント、および特定のWebサイトへのリンク(ここには掲載しません)を含んでいます。

・このトロイの木馬にはポートを聴取するバックドア機能があり、ポート1〜65535をスキャンします。リモート攻撃者は、ログイン名、パスワードなどのデータを取得できます。

・SMTPサーバおよびSoftware\Microsoft\Internet Account Manager\Accountsを使用して、UDPパケット、IGMP、電子メール爆弾、電子メールを送信することもあります。 ・スクリーン上に多数のメッセージを表示します。例えば、“You're infected with the xxxxhead virus”(xxxxは、実際のメッセージの置き換え)です。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・330,615バイト(10進数)のファイル“SYSCLEAN.EXE”が存在します(ファイル名は異なることがあります。)

・予期しない、大量のトラフィックがTCPポート6667に存在します。

TOPへ戻る

感染方法

・ IRC-Yoink は、IRC、または偽装した電子メールメッセージ/添付ファイルによって繁殖します。

TOPへ戻る