ウイルス情報

ウイルス名 危険度

W32/Bagle.i@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4331
対応定義ファイル
(現在必要とされるバージョン)
4331 (現在7659)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Beagle.I@MM (NAV): Win32.Bagle.I (CA)
情報掲載日 04/03/03
発見日(米国日付) 04/03/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bagle.i@MMはW32/Bagleの亜種で、W32/Bagle.f@MMと同様の機能を持ちます。このウィルスの特徴は以下のとおりです。

・Windows SystemディレクトリにI11R54N4.EXE.として自身をコピーします。例:

  • C:\WINNT\SYSTEM32\i11r54n4.exe (21,212 バイト)
  • ・以下のレジストリキーが追加されシステムの起動をフックします。

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "rate.exe" = C:\WINNT\SYSTEM32\i11r54n4.exe

    ・以下のレジストリキーも追加されます。

    • HKEY_CURRENT_USER\Software\Windor

    ・W32/Bagle.i@MMの機能を実行するために、Windows Systemディレクトリに他のファイルも作成します。

    • go154o.exe (19,968 バイト) -大量メール送信を実行するDLLファイル
    • i1i5n1j4.exe (1,536 バイト) - DLLファイルローダ
    • i11r54n4.exeopen (21,348 バイト) - 電子メールを介して送信されるZIPファイル

    ・これまで発見された亜種と同様に、システム日付をチェックします。システム日付が2005年3月25日以降の場合、W32/Bagle.i@MMは速やかに終了し、繁殖しません。

    ・以下のアイコンを使用して、フォルダを装います。

    ・ターゲットマシンのTCPポート2745が開いています。

    電子メールを介した繁殖

    ・以下のようなメッセージが作成されます。

    送信者:(偽造された送信者)
    件名:

    • ^_^ meay-meay!
    • ^_^ mew-mew (-:
    • Weah, hello! :-)
    • Weeeeee! ;)))
    • Hi! :-)
    • ello! =))
    • Hey, ya! =))

    本文:

    • Hey, dude, it's me ^_^ :P
    • Argh, i don't like the plaintext :)
    • You have won!!!
    • The access is open !!!

    添付ファイル:パスワード保護されたZIPのアーカイブで、ZIP内のファイル名はランダムです。パスワードはメッセージ本文に含まれています。

    • archive password: %password%
    • password: %password%
    • pass: %password%
    • password - - %password %
    • %password % - - archive password
    • ... btw, %password% is a password for archive
    • password for archive %password%

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・ターゲットマシンのTCPポート2745が開いています。

    ・上記の文字に一致するメッセージを送信します。

    ・上記のファイル/レジストリキーが存在します。

    TOPへ戻る

    感染方法

    電子メールを介した繁殖

    ・W32/Bagle.i@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先の電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

    • .adb
    • .asp
    • .cfg
    • .dbx
    • .eml
    • .htm
    • .mdx
    • .mmf
    • .nch
    • .ods
    • .php
    • .pl
    • .sht
    • .tbb
    • .txt
    • .wab
    • .xml

    ・収集したアドレスを差出人欄で使用して、差出人を偽装します。

    ・以下の文字列を含むアドレスには送信しません。

    • @avp.
    • @hotmail.com
    • @microsoft
    • @msn.com
    • local
    • noreply
    • postmaster@
    • root@

    リモートアクセスコンポーネント

    ・W32/Bagle.i@MMは、リモート接続の有無をTCPポート2745で聴取します。さまざまなWebサイトにアクセスしたり、リモートサイトにあるPHPスクリプトを呼び出して、感染システムがコマンド受信できることを作成者に知らせます。この情報を掲載した時点では、問題のスクリプトは以下のサイトには存在しませんでした。以下のサイトに27.8時間ごとに接続されます。

    • http://postertog.de/scr.php
    • http://www.gfotxt.net/scr.php
    • http://www.maiklibis.de/scr.php

    ・上記のWebサイトに送られるHTTPパケットのファーマットは以下のとおりです。

    • GET /scr.php?p=2745 HTTP/1.1

    ピアツーピアを介した繁殖

    ・ファイルは“shar”の語句を含むフォルダに作成されます。

    • ACDSee 9.exe
    • Adobe Photoshop 9 full.exe
    • Ahead Nero 7.exe
    • Matrix 3 Revolution English Subtitles.exe
    • Microsoft Office 2003 Crack, Working!.exe
    • Microsoft Office XP working Crack, Keygen.exe
    • Microsoft Windows XP, WinXP Crack, working Keygen.exe
    • Opera 8 New!.exe
    • Porno pics arhive, xxx.exe
    • Porno Screensaver.scr
    • Porno, sex, oral, anal cool, awesome!!.exe
    • Serials.txt.exe
    • WinAmp 5 Pro Keygen Crack Update.exe
    • WinAmp 6 New!.exe
    • Windown Longhorn Beta Leak.exe
    • Windows Sourcecode update.doc.exe
    • XXX hardcore images.exe

    TOPへ戻る

    駆除方法

    ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

    Windows ME/XPでの駆除についての補足

    ■手動で駆除する場合の手順

    1. システムをセーフモードで再起動します。
      (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
    2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)から下記のファイルを削除します。
      i11r54n4.exe
      go154o.exe
      i1i5n1j4.exe
      i11r54n4.exeopen
    3. レジストリを編集します。
      "rate.exe"という値を以下から削除します。
      • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

      W32/Bagle.h@MMのために以下のレジストリキーを削除します。

      • HKEY_CURRENT_USER\Software\Winexe

      W32/Bagle.i@MMのために以下のレジストリキーを削除します。

      • HKEY_CURRENT_USER\Software\Windor
    4. デフォルトモードでシステムを再起動します。

    TOPへ戻る