製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:I
ウイルス情報
ウイルス名危険度
IRC-Mocbot
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4611
対応定義ファイル
(現在必要とされるバージョン)
4611 (現在7600)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Promobot
情報掲載日2005/10/25
発見日(米国日付)2005/10/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
-- 2005年10月23日更新 --

・AVERTでは、さらなる分析の結果、IRC-MocbotがMS05-047ではなくMS05-039の脆弱性を悪用することを確認しました。当初の分析では、MS05-047を悪用したコードに似ていたこと、(公開されているソースコードとの重複コード等)、MS05-039の修正プログラムが適用されていたとの誤った感染報告があったこと、使用されているコード以外は初期のMS05-039を悪用したbotに似ていたことから、MS05-047が悪用されていると推測しました。

・さらに、AVERTでは、感染したシステムがリモートIRCサーバに接続し、すぐに感染可能な脆弱なシステムを探し出す指示を受けられるよう、リモートIRCサーバに自動繁殖設定が行われていることを確認しました。

・IRC-MocbotはMS05-039のMicrosoft Windowsの脆弱性を利用します。

・IRC-Mocbotはwudpcom.exeというファイル名でWindowsのシステムディレクトリ(通常はc:\windows\system32)に自身をインストールします(MD5:996c9c3a01c9567915212332fe5c1264)。また、以下のプロパティを持つサービスを作成します。

  • 名前: wudpcom
  • 表示名: Windows UDP Communication
  • 説明: Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st(サービスマネージャはここに記載されているテキストを無視してください。)

・IRC-MocbotはまずTCP18067上で以下のIRCサーバに接続します。

  • bbjj.househot.com
  • ypgw.wallloan.com

・次に指定されたチャネルに接続し、以下を含むコマンドの受信待機を行います。

  • DDoS
  • 脆弱なシステムのスキャン
  • リモートファイルのダウンロード/実行

・IRC-Mocbotは、指示に従って、クラスAのサブネットアドレスをスキャンし、TCP 139(netbios)、445(microsoft-ds)を介してSYNパケットを送信して、MS05-039の脆弱性を持つシステムを探し出します。脆弱なシステムが見つかると、感染したシステムは、リモートシステムにバッファオーバーフローを発生させ、Mocbotをダウンロードし、named .exeというファイル名でWindowsのシステムディレクトリに保存して実行するよう指示します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • netbios、microsoft-dsのネットワークトラフィックが大量に発生します。
  • Windowsのシステムディレクトリにwudpcom.exeファイルが存在します。
  • TCP 18067上でbbjj.househot.comまたはypgw.wallloan.comに接続します。

・また、以下のレジストリの値が設定されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole "EnableDCOM" = n
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous" = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous" = 1

・IRC-MocbotはWINDOWS\DEBUGディレクトリのdcpromo.logという名前のファイルにログを記録します。

感染方法TOPへ戻る

・IRC-Mocbotは繰り返し自己複製を行うことはないようですが(ウイルスの定義)、自動複製が可能なリモートコマンド(自動リモートコマンドを含む)を使用して操作される可能性があります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足