ウイルス情報

ウイルス名 危険度

IRC-Mocbot

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4611
対応定義ファイル
(現在必要とされるバージョン)
4611 (現在7652)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Promobot
情報掲載日 2005/10/25
発見日(米国日付) 2005/10/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

-- 2005年10月23日更新 --

・AVERTでは、さらなる分析の結果、IRC-MocbotがMS05-047ではなくMS05-039の脆弱性を悪用することを確認しました。当初の分析では、MS05-047を悪用したコードに似ていたこと、(公開されているソースコードとの重複コード等)、MS05-039の修正プログラムが適用されていたとの誤った感染報告があったこと、使用されているコード以外は初期のMS05-039を悪用したbotに似ていたことから、MS05-047が悪用されていると推測しました。

・さらに、AVERTでは、感染したシステムがリモートIRCサーバに接続し、すぐに感染可能な脆弱なシステムを探し出す指示を受けられるよう、リモートIRCサーバに自動繁殖設定が行われていることを確認しました。

・IRC-MocbotはMS05-039のMicrosoft Windowsの脆弱性を利用します。

・IRC-Mocbotはwudpcom.exeというファイル名でWindowsのシステムディレクトリ(通常はc:\windows\system32)に自身をインストールします(MD5:996c9c3a01c9567915212332fe5c1264)。また、以下のプロパティを持つサービスを作成します。

  • 名前: wudpcom
  • 表示名: Windows UDP Communication
  • 説明: Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to st(サービスマネージャはここに記載されているテキストを無視してください。)

・IRC-MocbotはまずTCP18067上で以下のIRCサーバに接続します。

  • bbjj.househot.com
  • ypgw.wallloan.com

・次に指定されたチャネルに接続し、以下を含むコマンドの受信待機を行います。

  • DDoS
  • 脆弱なシステムのスキャン
  • リモートファイルのダウンロード/実行

・IRC-Mocbotは、指示に従って、クラスAのサブネットアドレスをスキャンし、TCP 139(netbios)、445(microsoft-ds)を介してSYNパケットを送信して、MS05-039の脆弱性を持つシステムを探し出します。脆弱なシステムが見つかると、感染したシステムは、リモートシステムにバッファオーバーフローを発生させ、Mocbotをダウンロードし、named .exeというファイル名でWindowsのシステムディレクトリに保存して実行するよう指示します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • netbios、microsoft-dsのネットワークトラフィックが大量に発生します。
  • Windowsのシステムディレクトリにwudpcom.exeファイルが存在します。
  • TCP 18067上でbbjj.househot.comまたはypgw.wallloan.comに接続します。

・また、以下のレジストリの値が設定されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole "EnableDCOM" = n
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous" = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous" = 1

・IRC-MocbotはWINDOWS\DEBUGディレクトリのdcpromo.logという名前のファイルにログを記録します。

TOPへ戻る

感染方法

・IRC-Mocbotは繰り返し自己複製を行うことはないようですが(ウイルスの定義)、自動複製が可能なリモートコマンド(自動リモートコマンドを含む)を使用して操作される可能性があります。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る