ウイルス情報

ウイルス名 危険度

W32/Bagle.f@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4330
対応定義ファイル
(現在必要とされるバージョン)
4331 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/03/01
発見日(米国日付) 04/02/29
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bagle.f@MMは大量メール送信型ワームで、以下のような特徴があります。

  • 送信メッセージを作成するために自身のSMTPエンジンを内蔵
  • ターゲットマシンから電子メールアドレスを収集
  • 電子メールメッセージの送信者アドレスを偽造
  • 添付ファイルはパスワード保護されたzipファイルで、パスワードはメッセージ本文に含まれている
  • リモートアクセスコンポーネントを持つ(ハッカーに通知を送信)
  • KaZaa、Bearshare、Limewireなどの一般的なピアツーピアアプリケーションのような、名前に“shar”の語句を含むフォルダに自身をコピー

・以下のような電子メールを作成します。

送信者:(偽造された送信者)
件名:

  • ^_^ meay-meay!
  • ^_^ mew-mew (-:
  • Aline
  • Anna
  • Audra
  • Bad girl
  • Barbi
  • beautiful
  • Caitie
  • caroline
  • ello! =))
  • Fotograf
  • Gallery photos
  • groom
  • Hey, dude, it's me ^_^ :P
  • Hey, ya! =))
  • Hi! :-)
  • Hokki =)
  • Jammie
  • Juli
  • Julie
  • kate
  • Katrina
  • Kelley
  • kleopatra
  • Lisa
  • Mandy
  • Mary
  • Mary-Anne
  • My beautiful person
  • My Name is Frenk
  • My photoalbum
  • My photos
  • Myphotos
  • Photoalbum
  • rebecca
  • Rena
  • Sara
  • stacy
  • Tammy
  • Wau... beautiful (-:
  • Weah, hello! :-)
  • Weeeeee! ;)))

本文:(以下のいずれか)

  • Argh, i don't like the plaintext :)
  • Fell free to chat with me I accept all ages. Don''''t worry I don''''t bite........hope to hear from you soon!
  • If you are going to make me cry, at least be there to wipe away the tears *Right now the worst thing for you to tell me that I can find someone better than you, especially when you are all I want
  • You don’t know what you’ve got till it’s gone *You hurt me more than I deserve, how can you be so cruel? I love you more than you deserve, how can I be such a fool?
  • I sit with elders of a gentle race, whose world is seldom seen.Who sit and talk of days for which they wait, when all will be revealed. These are song lyrics.
  • I'm a social butterfly and a natural flirt. Very hard to get my complete attention. Very open and will answer almost anything. But please don't piss me off. I can be sweet and cuddly or a whatever mood I am in that day so everyday
  • Love the outdoors, literature, writing, and athletics
  • When The Trust is Gone So Is The Love That Fades Like the Rain Washing Away All The Sorrows Of Yesterday Why I Ask Myself Must It End Like This Tomorrow, I Tell Myself, I'll Be Okay For Now, I'll Just Live In The Memories Of Our Life Together
  • I enjoy clean conversations but am open to conversing with women and men with little ones as well. I am very open-minded. All authorization requests will be denied if I don't receive messages and get to know you first.
  • I love camping, dirt track racing, going for walks, and I have 2 cats - HotRod and Deebo (named from the movie 'Friday' and he lives up to it!). Life is ever changing, never always easy...
  • i love to chat to just about anyone!!
  • If I'm online, it problably means I'm pretty bored....so feel free to message me and say hi or whatever else comes to mind at the moment.
  • Hey people whats goin on? If there is anything you want to know about me ask me... I am pretty easygoing I won't bite....not at first anywayz hahaa.....one thing I will say on here tho I am not into the Cyber thing so don't even ask.....Ciao...
  • Hi! My name is Shreya and I am a goof off!!! So, If you love the outdoors, travelling, books, music, movies, laffing, teasing and/or can poke fun at yourself... please come a hollerin'!!
  • I love to dance, read poetry, make people laugh, and hug as many people a day as i can.
  • Single Mom of 3, Full time college student, Graduate in December with an Associates of Applied Science in Computer Information Systems Love the internet.
  • My hobbies include crochet, sewing, painting lead figures and playing AD&D. Favorite activities include fishing and camping. I love cats, unicorns(go figure), and fantasy in general.
  • I like to be in a company of smart, delicate, and with a good sense of humor people. I am Bulgarian, currently getting my Master's in International Business in USA. Favorite actor: Michael Dudikoff
  • i'm tall and skiny I'm studying in Pharm. D program in FL. i like music, movie, dancing, sports, SCUBA diving, traveling and make a lot friends.
  • Nice friends, nice men, nice sex and feeling great. I don't mind the odd bout of cybersex as I love to use my imagination when I masterbate.
  • Hey, guys! by the way, I have no problems with my sexual life, so it's absolutly useless try to have icq sex or things like that. Thanks
  • I'm an open minded person and enjoy chatting w/ other people. I'm free and willing to chat about anything. So feel free to Imed me if you wanna chat.
  • I love meeting new people and making new friends. I am a Mary Kay Beauty Consultant. I am married to a wonderful man. We have no children, exept for a minature schnauzer that thinks he is a child. Looking forward to meeting you.
  • I am from Taiwan but I study in Camden, New Jersey now. I like to know people from different places .
  • I'm married and I stay at home. And I don't do cyber sex so leave me the f**k alone
  • Looking forward for a response :P

・添付ファイルがパスワード保護されたzipファイルの場合、以下の行のいずれかが本文に含まれます。

  • archive password: %password%
  • password: %password%
  • pass: %password%

添付ファイル(拡張子.exe、.scr、.zip を含むこともあります。)

  • Aline
  • Anna
  • Audra
  • Bad girl
  • Barbi
  • Caitie
  • caroline
  • Gallery
  • It_I
  • Jammie
  • Juli
  • Julie
  • kate
  • Katrina
  • Katrina
  • Kelley
  • kleopatra
  • Lisa
  • Mandy
  • Mary
  • Mary-Anne
  • myfotos
  • Photoalbum
  • Photomontage
  • Picture
  • rebecca
  • Rena
  • Sara
  • stacy
  • Tammy

・以下のアイコンを使用して、フォルダを装います。

・これまでに発見された亜種と同様に、システム日付をチェックします。システム日付が2005年3月25日以降の場合、W32/Bagle.f@MMは速やかに終了し、繁殖しません。

・W32/Bagle.f@MMは以下のように、Windows Systemディレクトリにi1ru54n4.exeとして自身をコピーします。

  • C:\WINNT\SYSTEM32\i1ru54n4.exe

・W32/Bagle.f@MMの機能を実行するために、上記のディレクトリに他のファイルも作成します。

  • go54o.exe (24,064バイト) - 大量メール送信を実行するDLLファイル
  • ii5nj4.exe (1,536バイト) - DLLファイルローダ
  • i1ru54n4.exeopen (〜16キロバイト) - 電子メールを介して送信されるファイル

・以下のレジストリキーを追加してシステムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "rate.exe" = C:\WINNT\SYSTEM32\i1ru74n4.exe

・以下のレジストリキーも追加します。

  • HKEY_CURRENT_USER\Software\winword "frun"

・W32/Bagle.f@MMのインスタンスが1回につき1つだけ実行されるように、“imain_mutex"というMutexを作成します。

・以下のファイル名を持つセキュリティプログラムのプロセスを強制終了させようとします。

  • ATUPDATER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ターゲットマシンのTCPポート2745が開いています。

・上記のメッセージを送信します。

・上記のファイル/レジストリキーが存在します。

TOPへ戻る

感染方法

電子メールを介した繁殖

・W32/Bagle.f@MMは自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先のの電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

  • .adb
  • .asp
  • .cfg
  • .dbx
  • .eml
  • .htm
  • .mdx
  • .mmf
  • .nch
  • .ods
  • .php
  • .pl
  • .sht
  • .tbb
  • .txt
  • .wab
  • .xml

・収集したアドレスを差出人欄で使用して、差出人を偽装します。

・以下の文字列を含むアドレスには送信しません。

  • @avp.
  • @hotmail.com
  • @microsoft
  • @msn.com
  • local
  • noreply
  • postmaster@
  • root@

リモートアクセスコンポーネント

・W32/Bagle.f@MMは、リモート接続の有無をTCPポート2745で聴取します。さまざまなWebサイトにアクセスしたり、リモートサイトにあるPHPスクリプトを呼び出して、感染システムがコマンド受信できることを作成者に知らせます。この情報を掲載した時点では、問題のスクリプトは以下のサイトには存在しませんでした。

  • http://postertog.de/scr.php
  • http://www.gfotxt.net/scr.php
  • http://www.maiklibis.de/scr.php

ピアツーピアを介した繁殖

・ファイルは“shar”の語句を含むフォルダに作成されます。

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■手動で駆除する場合の手順

  1. ・Windows9x/MEをお使いの場合
    システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)から下記のファイルを削除します。
    go54o.exe
    i1ru54n4.exe
    ii5nj4.exe
    i1ru54n4.exeopen
  3. レジストリを編集します。
    "gouday.exe"という値を以下から削除します。
    • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

  4. 以下のキーを削除します。
    • HKEY_CURRENT_USER\Software\winword
  5. システムを再起動します。

TOPへ戻る