McAfee for Small Businesses

・AVERTでは、さらなる分析の結果、IRC-MocbotがMS05-047ではなくMS05-039の脆弱性を悪用することを確認しました。当初の分析では、MS05-047を悪用したコードに似ていたこと、（公開されているソースコードとの重複コード等）、MS05-039の修正プログラムが適用されていたとの誤った感染報告があったこと、使用されているコード以外は初期のMS05-039を悪用したbotに似ていたことから、MS05-047が悪用されていると推測しました。

・さらに、AVERTでは、感染したシステムがリモートIRCサーバに接続し、すぐに感染可能な脆弱なシステムを探し出す指示を受けられるよう、リモートIRCサーバに自動繁殖設定が行われていることを確認しました。

・IRC-MocbotはMS05-039のMicrosoft Windowsの脆弱性を利用します。

・IRC-Mocbotはwudpcom.exeというファイル名でWindowsのシステムディレクトリ（通常はc:\windows\system32）に自身をインストールします（MD5：996c9c3a01c9567915212332fe5c1264）。また、以下のプロパティを持つサービスを作成します。

• 名前： wudpcom
• 表示名： Windows UDP Communication
• 説明： Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st（サービスマネージャはここに記載されているテキストを無視してください。）

・IRC-MocbotはまずTCP18067上で以下のIRCサーバに接続します。

• bbjj.househot.com
• ypgw.wallloan.com

・次に指定されたチャネルに接続し、以下を含むコマンドの受信待機を行います。

• DDoS
• 脆弱なシステムのスキャン
• リモートファイルのダウンロード／実行

・IRC-Mocbotは、指示に従って、クラスAのサブネットアドレスをスキャンし、TCP 139（netbios）、445（microsoft-ds）を介してSYNパケットを送信して、MS05-039の脆弱性を持つシステムを探し出します。脆弱なシステムが見つかると、感染したシステムは、リモートシステムにバッファオーバーフローを発生させ、Mocbotをダウンロードし、named .exeというファイル名でWindowsのシステムディレクトリに保存して実行するよう指示します。