ウイルス情報

ウイルス名 危険度

W32/Bagle.b@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4324
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Bagle.b (AVP)
W32.Alua@mm (NAV)
W32.Aula@mm (NAV)
W32/Tanx.A-mm
W32/Yourid.A.worm (Panda)
Win32.HLLM.Strato.16896 (Dialogue Science)
WORM_BAGLE.B (Trend)
情報掲載日 04/02/19
発見日(米国日付) 04/02/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

--2004年2月25日更新情報--

W32/Bagle.b@MMの感染度が下がったため、危険度を「低[要注意]」に引き下げました。

2004年2月18日更新情報

感染報告が増加しているため、危険度を「中」に引き上げました。


・W32/Bagle.b@MMは大量メール送信型ワームです。特長は以下のとおり。

  • 送信メッセージ作成用のSMTPエンジンを内蔵している。
  • 感染マシンからメールアドレスを抽出
  • メッセージの「差出人」は偽装アドレスが使われる
  • リモートアクセスコンポーネントを持つ(通知がハッカーに送信される)

W32/Bagle@MMウイルスのように。、このワームはシステム日付をチェックします。日付が2004年2月25日以降の場合、ワームは速やかに終了し、繁殖しません。

・上記の日付以前の場合、ワームはWindows Sound Recorder(SNDREC32.EXE)アプリケーションを実行します。アイコンはこのアプリケーションと同様のアイコンが使用されます。

・ウイルスはAU.EXEファイルとしてウイルス自身をウィンドウズシステムディレクトリにコピーします。

C:\WINNT\SYSTEM32\AU.EXE

・以下のレジストリキーがシステムスタートアップをフックするために追加されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "au.exe" = C:\WINNT\SYSTEM32\AU.EXE

・さらに、以下の2つのレジストリキーも追加されます。

  • HKEY_CURRENT_USER\Software\Windows2000 "frn"
  • HKEY_CURRENT_USER\Software\Windows2000 "gid"

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・感染マシンのTCPポート8866が開く
・送信メッセージが上記の特徴と一致する
・上記のレジストリキーおよびファイルが存在する

TOPへ戻る

感染方法

メールによる繁殖

・W32/Bagle.b@MMは以下のファイルから電子メールアドレスを収集して、自身のSMTPエンジンを使用してこれらの宛先に自身を送信します。

  • .wab
  • .txt
  • .htm
  • .html

・ウイルスは「差出人」欄から取り出したアドレスを使用して送信者を偽装します。

・以下のような電子メールメッセージで届きます。

差出人:(偽装アドレスが使われる)

件名:ID (文字列1)... thanks
本文:
Yours ID (文字列2)
--
Thank

添付ファイル:拡張子が.EXEで、ランダムなファイル名のバイナリファイル(11,264バイト)

・”文字列1”と”文字列2”はランダムな文字列が入ります。

・W32/Bagle@MMは以下の文を含むメールアドレスには大量メール送信をしません。

  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp.

リモートアクセスコンポーネント

・W32/Bagle@MMは、リモート接続の有無をTCPポート8866 で聴取します。このバックドア機能については現在調査中です。

・HTTP経由で通知がハッカーに送信されます。GETリクエスト(ポートナンバーと”ID”を含む)がリモートサーバ上のPHPスクリプトに送られます。以下のドメインのアクセスをブロックすることを推奨します。

  • http://www.47df.de
  • http://www.strato.de
  • http://intern.games-ring.de

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■McAfee IntruShield
McAfee IntruShieldは、このワームおよびそのオリジナルであるW32/Bagleから保護するための包括的なシグネチャをすでに提供しており、これにより、このワームに利用される添付ファイルの一般的なタイプを全てカバーしています。ワームの繁殖を防ぐために、ユーザポリシーの“SMTP: Worm Detected in Attachment”シグネチャで遮断する設定も可能です。このワームを個別に識別するには、ユーザ定義シグネチャ"UDS-SMTP: Worm bagle.b Detected"を適用してください。

■Stinger
駆除ツールStingerがW32/Bagle.b@MMに対応しています。ダウンロードはこちら

・手動で駆除する場合の手順

  1. ・Windows9x/MEをお使いの場合
    システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
    ・WindowsNT/2000/XPをお使いの場合
    AU.EXE プロセスを終了します。
  2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)からAU.EXE ファイルを削除します。
  3. レジストリを編集します。
    "au.exe"という値を以下から削除します。
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

TOPへ戻る