ウイルス情報

ウイルス名 危険度

W32/Bagle.dt@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4696
対応定義ファイル
(現在必要とされるバージョン)
4696 (現在7656)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Email-Worm.Win32.Bagle.fo (Kaspersky)
W32.Beagle.DR@mm (Symantec)
W32/Bagle-CM (Sophos)
WORM_BAGLE.EV (Trend Micro)
情報掲載日 2006/02/17
発見日(米国日付) 2006/02/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bagle.dt@MMは、ウイルス定義ファイル4694以降では、W32/Salityという名前でプロアクティブに検出されます。分析によれば、W32/Bagle.dtはW32/Sality.oに感染したW32/Bagleの亜種です。

・W32/Bagle.dt@MMは、自身のSMTPエンジンを使用して、感染したコンピュータ上で収集した電子メールアドレスに自身を送信する、トロイの木馬型ダウンローダ兼メール送信型ワームです。無許可のリモートアクセスが可能なバックドア機能も組み込まれています。

・実行時、以下の偽のエラーメッセージを表示します。

・Windowsのシステムディレクトリに自身のコピーを作成します。

%Windir%\%SYSDIR%\lsamgr.exe (W32/Bagle.dt@MMのコピー)
%Windir%\%SYSDIR%\lsamgr.exeopen (W32/Bagle.dt@MMのコピーと意味のないコード)
%Windir%\%SYSDIR%\lsamgr.exeopenopen (W32/Bagle.dt@MMのコピーと意味のないコード)
%Windir%\Wimanager.exe (W32/Bagle.dtという名前で検出されるダウンローダ)

・以下の値をレジストリに追加して、Windowsの起動時に自身を自動的に起動します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "LsaManager"="%Windir%\%SYSDIR%\lsamgr.exe "

・レジストリサブキーから以下の値を削除しようとします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

・以下のURLから自身の更新版をダウンロードしようとします。

http://dook.zoo.by/zorg[削除]/get.php
http://debut.zoo.com/zorg[削除]/get.php
http://myphotokool.ferro.com/zorg[削除]/get.php
http://ijj.t2035.com/zorg[削除]/get.php
http://209.11.85.20/.%20/pr[削除]/get.php

注: このウイルス情報の作成時、リモートサイトから移動または削除されていたため、ファイルのダウンロードは確認できませんでした。

・TCPポート6777上でバックドアを開き、コマンドの受信待機を行います。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

メールを介した繁殖

・感染したシステムから電子メールアドレスを収集するため、以下のファイルタイプを読み取ります。

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

メール本文

・以下の特徴を持つ電子メールメッセージを作成します。

差出人:[偽装]

件名:(以下のいずれか)

FREE OLYMPIC TICKETS LOTTERY!
2006 Winter Games in Torino
2006 Torino Winter Games FREE Tickets

本文:(以下のいずれか)

Our company (TicketWorld) is the world's largest supplier of tickets to all major international events including the 2006 Winter Games and 2006 Torino Tickets. We sell tickets to every sporting event in Torino including the preliminary competitions as well as Olympic Finals tickets. You can order Winter Games tickets for all categories for every match. All Winter Games tickets are guaranteed 200%.

All ticket prices are in US Currency ($).

OPEN ATTACHMENT ARCHIVE TO GET INFORMATION HOW TO OBTAIN A FREE TOCKET.

Please call our United States office at +1.512.4{非表示}.5797 or from the United Kingdom 0800.7{非表示}.0819 if you have questions.

========================================

The Torino Winter games will be the most celebrated Olympics of our era. If you are looking to witness this historic event for yourself, look no further. SuperTicketing Premium Seating is your source for Olympics tickets. We have access to tickets for nearly every Olympic event from Opening to Closing Ceremonies, Curling to Figure Skating.

FREE TICKECKS AVAILABLE NOW ON LOTTERY BASIS. CHECK ATTACHED FILE.

DISCLAIMER
TickCo Premium Seating buys and resells tickets on the secondary market at above face value. Our prices can be substantially higher than the original ticket price, as they reflect the cost of obtaining premium seating. Any trademarked terms that appear on this page are used for descriptive purposes only.

========================================

Attention: you recieved free ticket invitation with attachment!

Coast to Coast Tickets provides the most comprehensive inventory of Opening Ceremony tickets available on the secondary market. If the Opening Ceremony tickets you are looking for are not available, please check back as our inventory is constantly updated. Orders for Opening Ceremony tickets that are no longer available will be cancelled or substituted at the customer's discretion. All Opening Ceremony tickets are shipped via Federal Express.

If you would like to attend a Opening Ceremony event to see athletes live, or to see a team schedule and information, Coast to Coast Tickets is your source. All it takes is a phone call or a few clicks of the mouse to buy Opening Ceremony tickets. We offer a wide selection of Winter Games tickets for all teams, and we are happy to provide information about schedules at any time.

========================================

添付ファイル:(以下のいずれか)

Generated_bill.exe
Order_details.exe
Service_receipt.exe

・W32/Bagle.dt@MMは以下の文字列を含むアドレスには自身を送信しません。

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
@avp.
noreply
local
root@
postmaster@

P2Pネットワークを介した繁殖

・W32/Bagle.dt@MMは名前に「shar」という語句を含むフォルダ(KaZaa、Bearshare、Limewireなど一般的なピアツーピアアプリケーションのフォルダ)に自身をコピーします。ユーザにこれらのファイルをダウンロードさせて実行させるため、W32/Bagle.dt@MMは人気のあるアプリケーションやポルノの名前をドロップ(作成)したコピーに使用します。

anna benson sex video.exe
kate beckinsale nude pictures.exe
jenna elfman sex anal deepthroat
miss america Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
barrett jackson nude photos, movies, porn video.exe
Britney Spears sex photos.exe
paris hilton Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 10.exe
Windown Vista Beta Leak.exe
IE beta 7.exe
Serials 2005 database.exe
XXX hardcore images.exe
Adobe Photoshop 9 full.exe

・以下のmutexを作成し、NETSKYの亜種が実行されないようにします。

同時に、一度に1つのインスタンスのW32/Bagle.dt@MMしかコンピュータ上で実行できないようにします。

____--->>>>U<<<<--____
AdmSkynetJklS003
'D'r'o'p'p'e'd'S'k'y'N'e't'
[SkyNet.cz]SystemsMutex
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

・さらに、W32/Bagle.dt@MMはダウンロードルーチンをサポートする以下のmutexを作成します。

bagla_super_downloader_1000
smtp_bagla_1000

・W32/Bagle.dt@MMの本体には以下の文字列が組み込まれています。

In a difficult worl
d In a nameless time
I want to survive
So, you will be mine!!

-- Bagle Author, 29.04.04, Germany.

TOPへ戻る

感染方法

・W32/Bagle.dt@MMは2006年2月14日に大量送信されました。

TOPへ戻る

駆除方法

・最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。AVERTは、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る