説明

BAckdoor.IRC.Loonbot はトロイの木馬でバックドア機能を有しています。 当該トロイの木馬は攻撃者にコンピュータの Internet Relay Chat (IRC) を使用した遠隔操作を可能にします。 当該トロイの木馬はファイルをダウンロードし実行することができます。
自身を %System%Wstat32.exe としてコピーし、コピーを実行します。\"Error-384\" というタイトルのメッセージボックスを表示します。そのボックスには、次の偽のエラーメッセージが表示されます。

A valid data link was not found, deleting file.

侵入先のコンピュータがインターネットに接続するのを待機します。インターネットに接続されると、トロイの木馬は、リモートにある特性の IRC サーバーに接続し、攻撃者に通知を行った後、コマンドを待機します。Backdoor.IRC.Loonbot は、次の操作を実行する能力を持っています:

自分自身の削除とアンインストール、
コンピュータの再起動、
指定されたコマンドの実行 ファイル名の変更
フォルダの作成または削除
プロセスの列挙および終了
指定されたホストに対する ICMP 攻撃の実行

削除方法

次のキーを選択してください: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
次の値を消去してください:
\\\"Wstat32 driver\\\"=\\\"%System%Wstat32.exe\\\"

RegRun Startup Optimizer を使用してスタートアップから削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/15 (Wed)