ウイルス情報

ウイルス名

DDoS/Trinity

種別 悪質ソフトウェア
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4095
対応定義ファイル
(現在必要とされるバージョン)
4095 (現在7656)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 DDoS/Trinity.4312.DDoS/Trinity.svr,Trinity v3,uucico
情報掲載日 00/09/05
発見日(米国日付) 00/08/16
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


  • DDoS/Trinityは、サービス拒否のエージェントで、2000年8月16日にIRCオペレータによって確認されました。

  • FBIなどの当局との共同調査により、このDDoSに関するさらに詳しい情報が公表されています。

  • Trinityは、通常、ハッカーによって破損されたLinuxサーバとUnixサーバに置かれるエージェントです。

  • このバイナリファイルのサイズは、通常、240〜270 KBです。

  • このエージェントは、コントローラから命令を受け取ると、さまざまな方法で攻撃を仕掛けてきます。

  • バイナリファイル内のコードを見ると、このウイルスは異なるサービス拒否を8つも実行する可能性があります。

  • このエージェントは、ファイル内に次の文字が含まれていることから、"Trinity v3"とも呼ばれています。

    trinity v3 by self (an idle mind is the devil's playground)

  • このエージェントは、TCPポート33270を聴取して、より大きなエージェントを呼び出すためのコマンドと命令を取得する他のコンポーネントと連動します。

  • 新しいバイナリファイルは、220〜260 KBの範囲外です。

  • コントローラコンポーネントとエージェントが通信を行うときに発生するUDPトラフィックの量が増加します。

  • このエージェントには、次のIRCサーバの可用性をチェックするコードが含まれています。

    199.170.91.114
    204.127.145.17
    205.188.149.3
    205.252.46.98
    207.69.200.131
    207.96.122.250
    207.114.4.35
    207.173.16.33
    208.51.158.10
    216.24.134.10
    216.225.7.155

  • サーバに感染すると、上記のIPアドレスでトラフィックが発生します。特に、IRCクライアントが活動していない場合は、この現象が顕著になります。