ウイルス情報

ウイルス名 危険度

W32/Bagle.k@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4332
対応定義ファイル
(現在必要とされるバージョン)
4373 (現在7659)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/03/04
発見日(米国日付) 04/03/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bagle.k@MMは大量送信型ワームで、定義ファイル4332を(圧縮ファイルのスキャンを有効にして)使用すると、W32/Bagle.j@MMの亜種として検出されます。

・ゲートウェイ製品で定義ファイル4332以降を使用すると、パスワードで暗号化されたZIPファイルがW32/Bagle.gen!pwdzipとして検出されます。

・このワームの特徴は以下のとおりです。

  • 送信メッセージを作成するために自身のSMTPエンジンを内蔵
  • ターゲットマシンから電子メールアドレスを収集
  • 電子メールメッセージの送信者アドレスを偽造
  • 添付ファイルはパスワード保護されたzipファイルで、パスワードはメッセージ本文に含まれている
  • リモートアクセスコンポーネントを持つ(ハッカーに通知を送信)
  • KaZaa、Bearshare、Limewireなどの一般的なピアツーピアアプリケーションのような、名前に“shar”の語句を含むフォルダに自身をコピー

電子メールを介した繁殖

・作成されるメッセージの本文は、これまでに発見された亜種と、非常に類似しています。効果的にメールをカスタマイズしたり、正式な警告メッセージに見せかけるために、いくつかのパートに分かれています。詳細は以下のとおり。

送信者:(偽造された送信者)
件名:

  • E-mail account security warning.
  • Notify about using the e-mail account.
  • Warning about your e-mail account.
  • Important notify about your e-mail account.
  • Email account utilization warning.
  • Notify about your e-mail account utilization.
  • E-mail account disabling warning.

本文:

挨拶文-

  • Dear user of (user's domain) ,
  • Dear user of (user's domain) e-mail gateway server,
  • Dear user of e-mail server "(user's domain) ",
  • Hello user of (user's domain) e-mail server,
  • Dear user of "(user's domain) " mailing system,
  • Dear user, the management of (user's domain) mailing system wants to let you know that,

“ユーザドメイン”は、「宛先」から選択されます。(例:“ユーザドメイン”がuser@mail.com の場合はmail.com)

メッセージ本文-

  • Your e-mail account has been temporary disabled because of unauthorized access.
  • Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
  • Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
  • We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
  • Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
  • Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

添付ファイル説明文-

  • For more information see the attached file.
  • Further details can be obtained from attached file.
  • Advanced details can be found in attached file.
  • For details see the attach.
  • For details see the attached file.
  • For further details see the attach.
  • Please, read the attach for further details.
  • Pay attention on attached file.

パスワード情報-(ZIPファイルとして受信した場合)

  • For security reasons attached file is password protected. The password is "(five random numbers) ".
  • For security purposes the attached file is password protected. Password is "(five random numbers) ".
  • Attached file is protected with the password for security reasons. Password is (five random numbers) .
  • In order to read the attach you have to use the following password: (five random numbers) .

結びの言葉-

  • The Management,
  • Sincerely,
  • Best wishes,
  • Have a good day,
  • Cheers,
  • Kind regards,

The (ユーザドメイン) team http://www.(ユーザドメイン)

・結びの言葉の最初の部分はリストから選択され、2番目の結びの言葉は常に記載された状態です。

添付ファイル(.EXE、.PIF、.ZIP)

  • Attach
  • Information
  • Readme
  • Document
  • Info
  • TextDocument
  • Text
  • MoreInfo
  • Message

・W32/Bagle.k@MMは以下のように、Windows SystemディレクトリにWINSYS.EXE.としてに自身をコピーします。

  • C:\WINNT\SYSTEM32\WINSYS.EXE

・また、WINSYS.EXEOPENファイルを作成します。WINSYS.EXEOPENファイルは自身のコピー、または電子メールで送信するためのZIPファイル(〜13KB)です。

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "ssate.exe" = C:\WINNT\SYSTEM32\winsys.exe

・これまでに発見された亜種と同様に、システム日付をチェックします。システム日付が2005年4月25日以降の場合、W32/Bagle.k@MMは速やかに終了し、繁殖しません。

・以下のアイコンを使用して、ワードパッド文書を装います。

・以下のファイル名を持つセキュリティプログラムのプロセスを強制終了させようとします。

  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

・ターゲットマシンのTCPポート2745が開いています。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ターゲットマシンのTCPポート2745が開いています。

・送信メールが上記の特徴に一致しています。

・上記のファイル/レジストリキーが存在します。

TOPへ戻る

感染方法

メールを介した繁殖

・W32/Bagle.k@MMは自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先の電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

  • .ADB
  • .ASP
  • .CFG
  • .CGI
  • .DBX
  • .EML
  • .HTM
  • .MDX
  • .MMF
  • .MSG
  • .NCH
  • .ODS
  • .PHP
  • .PL
  • .SHT
  • .TBB
  • .TXT
  • .UIN
  • .WAB
  • .XML

・収集したアドレスを差出人欄で使用して、差出人を偽装します。

・以下の文字列を含むアドレスには送信しません。

  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@

ピアツーピアを介した繁殖

・ファイルは“shar”の語句を含むフォルダに作成されます。

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

リモートアクセスコンポーネント

・W32/Bagle.k@MMは、リモート接続の有無をTCPポート2745で聴取します。さまざまなWebサイトにアクセスしたり、リモートサイトにあるPHPスクリプトを呼び出して、感染システムがコマンド受信できることを作成者に知らせます。この情報を掲載した時点では、問題のスクリプトは以下のサイトには存在しませんでした。

  • http://postertog.de/scr.php
  • http://www.gfotxt.net/scr.php
  • http://www.maiklibis.de/scr.php

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る