ウイルス情報

ウイルス名 危険度

W32/Bagle.bg@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4414
対応定義ファイル
(現在必要とされるバージョン)
4414 (現在7633)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Bagle.g (KAV) W32.Beagle.H@mm (Symantec) Win32/Bagle.H.Worm (CA)
情報掲載日 2004/12/13
発見日(米国日付) 2004/12/10
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bagle.bg@MMはW32/Bagle.h@MMのウイルスがPEXを使用して再圧縮された亜種です。電子メールのパスワード保護されたZIPファイルとして到着します。

プロアクティブな検出

・W32/Bagle.bg@MMは、パスワード保護されたZIPファイルからの解凍後、ウイルス定義ファイル4331以上のエンジン4.3.20以上でW32/Bagle.h.damとしてプロアクティブに検出されます。さらに、WebShield、GroupShieldといったMcAfeeの電子メールスキャン製品やデスクトップ製品の電子メールスキャナプラグインは、ウイルス定義ファイル4345以上ではW32/Bagle.gen!pwdzipとして、W32/Bagle.bg@MMによって作成されるパスワード保護ファイルを検出します。

・W32/Bagle.bg@MMが実行されると、I11R54N4.EXEというファイル名でWindowsのシステムディレクトリに自身をコピーします。

例: C:\WINNT\SYSTEM32\i11r54n4.exe (21,318バイト)

・以下のレジストリキーを追加して、システム起動時にフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "rate.exe" = C:\WINNT\SYSTEM32\i11r54n4.exe

・以下のレジストリキーも追加されます。

  • HKEY_CURRENT_USER\Software\Winexe "open"

・また、自身の機能を実行する他のファイルもWindowsのシステムディレクトリに作成します。

  • go154o.exe (19,968 バイト) - メール送信を実行するDLL
  • i1i5n1j4.exe (1,536バイト) - DLLのローダー
  • i11r54n4.exeopen (20,774バイト) - 電子メールを介して送信されるZIPファイル

・これまでの亜種と同様、W32/Bagle.bg@MMはシステムの日付をチェックします。日付が2005年3月25日以降の場合、W32/Bagle.bg@MMは活動を停止し、繁殖しなくなります。

・W32/Bagle.bg@MMは、フォルダを装うため、以下のアイコンを使用します。

・ターゲットマシンのポート2745(TCP)を開きます。

・名前にsharという語句を含むフォルダ(KaZaa、Bearshare、Limewireなど一般的なピアツーピアアプリケーションのフォルダ)に自身をコピーします。ただし、マップされたドライブでは繁殖しません。

電子メールを介した繁殖

・メッセージのフォーマットは以下のとおりです。

差出人:(アドレスを偽装)

件名:
  • ^_^ meay-meay!
  • ^_^ mew-mew (-:
  • Weah, hello! :-)
  • Weeeeee! ;)))
  • Hi! :-)
  • ello! =))
  • Hey, ya! =))
本文:
  • Hey, dude, it's me ^_^ :P
  • Argh, i don't like the plaintext :)
  • You have won!!!
  • The access is open !!!
添付ファイル:パスワード保護されたZIP圧縮ファイル。ZIP内のファイルの名前はランダムです。パスワードは本文に記載されています。
  • archive password: %パスワード%
  • password: %パスワード%
  • pass: %パスワード%
  • password - - %パスワード%
  • %パスワード% - - archive password
  • ... btw, %パスワード% is a password for archive
  • password for archive %パスワード%

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • ターゲットマシンの2745ポート(TCP)が開きます。
  • 上記の内容と一致する送信メッセージが存在します。
  • 上記のようなファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

電子メールを介した繁殖

・W32/Bagle.bg@MMは自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

  • .adb
  • .asp
  • .cfg
  • .dbx
  • .eml
  • .htm
  • .mdx
  • .mmf
  • .nch
  • .ods
  • .php
  • .pl
  • .sht
  • .tbb
  • .txt
  • .wab
  • .xml

・[差出人]フィールドから収集したアドレスを使用して、送信者のアドレスを偽装します。

・ただし、以下を含むアドレスには自身を送信しません。

  • @avp.
  • @hotmail.com
  • @microsoft
  • @msn.com
  • local
  • noreply
  • postmaster@
  • root@
リモートアクセスコンポーネント

・W32/Bagle.bg@MMは、TCPポート2745上で受信待機して、リモート接続を確認します。さまざまなウェブサイトにアクセスし、リモートサイト上のPHPスクリプトを呼び出して、感染したシステムがコマンドの受信準備が整ったことを作成者に通知しようとします。しかし、このウイルス情報の作成時には、このスクリプトにアクセスすることはできませんでした。Webサイトへのアクセスは27.8時間ごとに行われます。

http://postertog.de/scr.php http://www.gfotxt.net/scr.php http://www.maiklibis.de/scr.php

・上記のWebサイトに送信されるHTTPパケットのフォーマットは以下のとおりです。

GET /scr.php?p=2745 HTTP/1.1

ピアツーピアを介した繁殖

sharという語句を含むフォルダにファイルを作成します。
  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

手動での駆除

・手動でウイルスを駆除する場合は、以下のステップにしたがってください。

1.システムをセーフモードで起動してください。(「Windowsを起動しています」の文字が表示されるときにF8キーを押し、セーフモードを選択してください)

2.Windowsのシステムディレクトリから以下のファイルを削除してください。(一般的にC:\Windows\System か C:\Winnt\System32)

i11r54n4.exe
go154o.exe
i1i5n1j4.exe
i11r54n4.exeopen

3.レジストリの編集

  • "rate.exe" を以下の行から削除
    • HKEY_CURRENT_USER\Software\Microsoft\
      Windows\CurrentVersion\Run
  • W32/Bagle.h@MMに対する以下のキーを削除
    • HKEY_CURRENT_USER\Software\Winexe
4.デフォルトモードで再起動してください。

■McAfee Desktop Firewall

McAfee Desktop Firewallユーザは受信時のTCPポート2745をブロックすることで不正なリモートアクセスを防げます。

TOPへ戻る