Trinooはウイルスではなく、1999年12月下旬にリリースされた、DDoS（分散型サービス拒否）攻撃を行う攻撃ツールです。W32.DoS.Trinooは、WindowsでコンパイルしたバージョンのTrinooマスターコンポーネントです。

別名: W32/Trinoo, Trinoo, TROJ_TRINOO

種別: トロイの木馬

感染サイズ: 23,145バイト

対応日(Intelligent Updater)* 00/02/22(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-50 報告件数: 1-2 地域感染度: 低 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 低 ダメージ: 中 感染力: 低

ダメージ

• 発病症状:
  • パフォーマンス低下: 分散型サービス拒否攻撃に使用される可能性がある。
    

感染力

• 感染対象: Windowsレジストリ
  

Trinooのマスターコンポーネントは、実際に攻撃を行う部分です。一般に、マスターコンポーネントは、インターネットを通じて、ハッキングされたコンピュータ（ゾンビと呼ばれます）に密かにインストールされます。Trinooのマスターコンポーネントは、指定した、または、攻撃対象のコンピュータに大量のUDPパケットを配信します。標的にされたコンピュータは、届いたUDPパケット１つ１つに対し、"ICMP port unreachable" というメッセージで応答しようとします。しかし、パケットの数が膨大なため、ネットワークの帯域が不足し、その結果、サービス拒否状態となります。

Trinooにはまた、マスターコンポーネントの制御に使用されるクライアントコンポーネントがあります。これは、ハッカーによる複数のマスターコンポーネントの遠隔操作を可能にしています。 クライアントは、様々なコマンドを送信することにより、マスターコンポーネントと交信することができます。

W32.DoS.Trinooは、WindowsでコンパイルされているバージョンのTrinooマスターコンポーネントです。Trinooには、LinuxのようなUNIX環境でコンパイルされているバージョンもあります。

W32.DoS.Trinooは、実行されると、\windows\systemディレクトリにservice.exeとしてコピーされます。その後、コンピュータが起動されるたびに自分自身が読み込まれるようレジストリを改変します。W32.DoS.Trinooは、いったんメモリ内に入ると、Trinooのクライアントプログラムから発信されるコマンド（mdos、mping、mdie、dos、mtimer、msizeなど）を受信し、その指示通りに操作を実行します。

Trinooマスターコンポーネントは、ハッカーにより密かにコンピュータにインストールされる可能性があるため、必ず検出する必要があります。Norton AntiVirusは、W95.DoS.Trinooマスターコンポーネントだけでなく、他の既知のDoS攻撃ツールを検出することもできます。

Windowsエクスプローラを使用して、次のファイルを削除してください。

C:\WINDOWS\SYSTEM\service.exe

レジストリエディタ（regedit）を使用して、次のレジストリキーを削除してください。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"System Services"="service.exe"