BKDR_AGOBOT.JXがかなりでています。
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_AGOBOT.JX
■ウィルス名:BKDR_AGOBOT.JX(Trendからの情報抜粋)
1.対応パターン
848
2.動作
TCP/6667で攻撃者からのコマンドを待つ
攻撃者は以下のコマンドが実行可能
webcam 経由で画面をキャプチャーできる。
自分自身のアップデートをダウンロードする
IRC コマンドの実行
ping の実行
CD keyを盗む
キーストロークを盗む
タスクマネージャー等を停止する。
3.感染する端末
Windows 95, 98, ME, NT, 2000 and XP.
4.システム改変
以下のファイルを設置する。
%System%\peere32.exe
%System%\quuerr.exe
以下のレジストリーキーを追加する。
(自動起動設定(ユーザー・端末Admin権限でログイン・起動時に実行する))
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>RunServices
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Run
HKEY_USERS>.DEFAULT >Software>Microsoft>Windows>
CurrentVersion>Run
に以下のレコードを追加する。
Peer Manager = “peere32.exe”
Windows2000、XPの場合はサービスとして以下の行を追加する
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\S1TRACE
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_S1TRACE
キーロギングの結果は、以下のファイルに格納される。
%System%\PENE.G
■かなり内部繁殖、taskmanagerが死にます・・・
848以降で対応です。
なんか、WORMの動きをしている模様。
200台近く感染している。さすがにWORMじゃないとこの台数はないだろう・・・
Trendmicroは BKDR_AGOBOT.JX で検知しています。
Symantecは W32.Randex.gen で検知しています。
04月02日00時に感染活動を始めているようです。
うーん、わからん。
書き忘れていたが、、、
0Dayかもしれません。
だから、Trendmicroも慎重に情報を出しているのかなぁ・・・
1577/TCP、1578/TCPを利用して、拡散している?!
ISCからも、More agobot/phatbot/polybot variants, cPanel resetpass exploit
とのこと。http://isc.sans.org/diary.php?date=2004-04-02&isc=123fba0f4e0aaa970e3ec5286771e064
追記(2004念04且07曰)
Trendからダメージクリーンナップサービス(ベータ版)にて、BKDR_AGOBOT.JXが駆除できます。
以下からダウンロードください。TSC-307-V11
http://www.trendmicro.com/download/pattern-dcs.asp