ウイルス情報

ウイルス名 危険度

W32/Bagle.dp@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4659
対応定義ファイル
(現在必要とされるバージョン)
4689 (現在7633)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 BagleDl-BZ (Sophos) W32.Beagle.DL@mm (Symantec) W32/Bagle.GS.worm (Panda) Win32/Bagle.FA (ESET)
情報掲載日 2006/02/07
発見日(米国日付) 2006/02/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bagle.dp@MMは、ウイルス定義ファイル4659以降では、W32/Bagle.genという名前でプロアクティブに検出されます。

・W32/Bagle.dp@MMは、自身のSMTPエンジンを使用して、感染したコンピュータ上で収集した電子メールアドレスに自身を送信する、トロイの木馬型ダウンローダ兼メール送信型ワームです。無許可のリモートアクセスが可能なバックドア機能も組み込まれています。

・W32/Bagle.dp@MMはテキストファイルのアイコンを使用し、実行時にメモ帳アプリケーションを開いて、空のテキスト文書が開いたとユーザに思いこませます。

・Windowsのシステムディレクトリに自身のコピーを作成します。

%Windir%\%SYSDIR%\sysformat.exe

・以下の値をレジストリに追加して、Windowsの起動時に自身を自動的に起動します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sysformat" = "%Windir%\%SYSDIR%\sysformat.exe"

・システムに感染したことを示すフラグとして、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\Params "FirstRun" = "01"

・以下のレジストリキーを改変して、Windows XPのファイアウォールサービスを無効にします。

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess "Start" = "4"

・レジストリから以下の値を削除しようとします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ "My AV"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "My AV"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ "ICQ Net"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "ICQ Net"

・以下のプロセスを終了し、Windowsの起動時にこれらのプロセスが動作しないようにします。

mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe

・HOSTSファイルを上書きし、以下のWebサイトにアクセスできないようにします。ほとんどはウイルス対策、セキュリティ関連のWebサイトです。リダイレクトされるWebサイトは以下のとおりです。

127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.mcafee.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com

・以下のURLから「q.jpg」ファイルをダウンロードします。

http://www.cnsrvr.com[削除]/q.jpg
http://www.casinofunnights.com[削除]/q.jpg
http://www.ec.cox-wacotrib.com[削除]/q.jpg
http://www.crazyiron.ru[削除]/q.jpg
http://www.uni-esma.de[削除]/q.jpg
http://www.sorisem.net[削除]/q.jpg
http://www.varc.lv[削除]/q.jpg
http://www.belwue.de[削除]/q.jpg
http://www.thetildegroup.com[削除]/q.jpg
http://www.vybercz.cz[削除]/q.jpg
http://www.kyno.cz[削除]/q.jpg
http://www.forumgestionvilles.com[削除]/q.jpg
http://www.campus-and-more.com[削除]/q.jpg
http://www.capitalforex.com[削除]/q.jpg
http://www.capitalspreadspromo.com[削除]/q.jpg
http://www.prineus.de[削除]/q.jpg
http://www.databoots.de[削除]/q.jpg
http://www.steintrade.net[削除]/q.jpg
http://www.njzt.net[削除]/q.jpg
http://www.emarrynet.com[削除]/q.jpg
http://www.zebrachina.net[削除]/q.jpg
http://www.lxlight.com[削除]/q.jpg
http://www.yili-lighting.com[削除]/q.jpg
http://www.fachman.com[削除]/q.jpg
http://www.q-serwer.net[削除]/q.jpg
http://www.wellness-i.com[削除]/q.jpg
http://www.newportsystemsusa.com[削除]/q.jpg
http://www.westcoastcadd.com[削除]/q.jpg
http://www.wing49.cz[削除]/q.jpg
http://www.posteffects.com[削除]/q.jpg
http://www.provax.sk[削除]/q.jpg
http://www.casinobrillen.de[削除]/q.jpg
http://www.duodaydream.nl[削除]/q.jpg
http://www.finlaw.ru[削除]/q.jpg
http://www.fitdina.com[削除]/q.jpg
http://www.flashcardplayer.com[削除]/q.jpg
http://www.flox-avant.ru[削除]/q.jpg
http://www.lotslink.com[削除]/q.jpg
http://www.algor.com[削除]/q.jpg
http://www.gaspekas.com[削除]/q.jpg
http://www.ezybidz.com[削除]/q.jpg
http://www.genesisfinancialonline.com[削除]/q.jpg
http://www.georg-kuenzle.ch[削除]/q.jpg
http://www.girardelli.com[削除]/q.jpg
http://www.rodoslovia.ru[削除]/q.jpg
http://www.golden-gross.ru[削除]/q.jpg
http://www.gregoryolson.com[削除]/q.jpg
http://www.gtechna.com[削除]/q.jpg
http://www.lunardi.com[削除]/q.jpg
http://www.sgmisburg.de[削除]/q.jpg
http://www.harmony-farms.net[削除]/q.jpg
http://www.hftmusic.com[削除]/q.jpg
http://www.hiwmreport.com[削除]/q.jpg
http://www.horizonimagingllc.com[削除]/q.jpg
http://www.hotelbus.de[削除]/q.jpg
http://www.howiwinmoney.com[削除]/q.jpg
http://www.ietcn.com[削除]/q.jpg
http://www.import-world.com[削除]/q.jpg
http://www.houstonzoo.org[削除]/q.jpg
http://www.interorient.ru[削除]/q.jpg
http://www.internalcardreaders.com[削除]/q.jpg
http://www.interstrom.ru[削除]/q.jpg
http://www.iutoledo.org[削除]/q.jpg
http://www.wena.net[削除]/q.jpg
http://www.iesgrantarajal.org[削除]/q.jpg
http://www.alexandriaradiology.com[削除]/q.jpg
http://www.booksbyhunter.com[削除]/q.jpg
http://www.wxcsxy.com[削除]/q.jpg
http://www.coupdepinceau.com[削除]/q.jpg
http://www.erotologist.com[削除]/q.jpg
http://www.jackstitt.com[削除]/q.jpg
http://www.imspress.com[削除]/q.jpg
http://www.digitalefoto.net[削除]/q.jpg
http://www.josemarimuro.com[削除]/q.jpg
http://www.eversetic.com[削除]/q.jpg
http://www.curious.be[削除]/q.jpg
http://www.kameo-bijux.ru[削除]/q.jpg
http://www.karrad6000.ru[削除]/q.jpg
http://www.kaztransformator.kz[削除]/q.jpg
http://www.keywordthief.com[削除]/q.jpg

注:このウイルス情報の作成時、リモートサイトから移動または削除されていたため、ファイルのダウンロードは確認できませんでした。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

メールを介した繁殖

・感染したシステムから電子メールアドレスを収集するため、以下のファイルタイプを読み取ります。

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
メール本文

・以下の特徴を持つ電子メールメッセージを作成します。

差出人:[偽装]

件名:

price
February price

本文:

price
February price 添付ファイル: price.zip
pricelst.zip
pricelist.zip
price_lst.zip
new_price.zip
21_price.zip
February price.zip
February_price.zip

・ZIP添付ファイルにはW32/Bagle.dp@MMのコピーと意味のない文字が羅列されたテキストファイルが格納されています。

・W32/Bagle.dp@MMは以下の文字列を含むアドレスには自身を送信しません。

@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
@avp.
noreply
local
root@
postmaster@

P2Pネットワークを介した繁殖

・W32/Bagle.dp@MMは名前に「shar」という文字列を含むフォルダに自身のコピーをドロップ(作成)しても繁殖します。ドロップするコピーには以下のファイル名を使用します。

1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

・また、以下のmutexを作成し、NETSKYの亜種が実行されないようにします。

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

TOPへ戻る

感染方法

・W32/Bagle.dp@MMは2006年2月2日に大量送信されました。

TOPへ戻る

駆除方法

・最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。AVERTは、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る