ウイルス情報

ウイルス名 危険度

W32/Bibrog.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4252
対応定義ファイル
(現在必要とされるバージョン)
4253 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/03/06
発見日(米国日付) 03/03/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bibrog.b@MMは大量メール送信型ワームで、MAPIを使用してOutlookのアドレス帳にあるすべての宛先に自身を送信します。また、KaZaa、Grokster、MorpheusおよびICQを介しても繁殖し、さまざまなWebサイト/サービスで使用するアクセスパスワードを詐取します。このウイルスはBig Brotherゲームを装いますが、破壊的な発病ルーチンを含んでいます。

電子メールを介した繁殖

・このワームは、以下のような電子メールメッセージで届きます。
件名: FwdLa Academia Azteca
本文: La cacademia azteca (muy bueno) 。no es virus!
添付ファイル: academia.exe

・添付ファイルが実行されると、次のシューティングゲームが表示されます。

・このゲームは一般のシューティングゲームと同じように機能しますが、背後ではウイルスが以下のタスクを実行しています。

  1. START UPフォルダにITCH.EXEおよびITCJ.EXEというファイル名で自身をコピーする。
  2. WINDOWS (%WinDir%)ディレクトリにmanzana.exeというファイル名で自身をコピーする。
  3. SYSTEM (%SysDir%)ディレクトリにacademia.exeというファイル名で自身をコピーする。
  4. 2バイトのテキストファイル“%WinDir%\mai.vbs”を作成する。
  5. %My Documents%フォルダに以下のWebページを複数コピーする。
    • acafug.htm
    • banamex.htm
    • citibank.htm
    • hotmail.htm
    • msn.htm
    • yahoo.htm

・再起動時にITCH.EXEファイルおよびITCJ.EXEファイルが実行され、以下の2つのマーカレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\ezzey\varia "cuento"
  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\ezzey\varia "UpdateRegistry"

・上記のレジストリキーは、ウイルスの実行回数をモニタします。しかしテストでは“cuento”カウンタキーが0から増加しないので、予定された発病ルーチンは実行しませんでした。ウイルスの初回実行時には、上記のレジストリキーは作成されません。システムの再起動後、START UPフォルダのITCH.EXEファイルが呼び出されて作成されます。“CUENTO”キーはITCH.EXEファイルの実行回数を表す値で、“トリガポイント”に到達すると、さまざまな発病ルーチンが実行されます。

発病ルーチン

  1. ITCH.EXEファイルの初回実行時には、大量メール送信ルーチンを実行します。以下の2つの画像ファイルを落とし込み、どちらか1つをデスクトップの壁紙に設定します。

  2. ・システムが再起動されるたびに、壁紙の画像は変更されます。

  3. その後任意の時点で、すべての.DBF、.DLL、.EXE、.GIF、.HTML、.JPG、.MP3、.MPG、および.ZIPファイルを削除します。ただし、テストでは実行しませんでした。

ピアツーピアを介した繁殖

・このウイルスは、KaZaa、Grokster、Morpheus、およびICQを介しても繁殖します。以下のロケーションに自身のコピーを作成します。

  • KaZaA\My Shared Folder\Kylie_Minogue_screensaver.exe
  • KaZaA\My Shared Folder\Shakira_screensaver.exe
  • Grokster\My Grokster\Kylie_Minogue_screensaver.exe
  • Grokster\My Grokster\Shakira_screensaver.exe
  • Morpheus\My Shared Folder\Kylie_Minogue_screensaver.exe
  • Morpheus\My Shared Folder\Shakira_screensaver.exe
  • ICQ\shared files\Kylie_Minogue_screensaver.exe
  • ICQ\shared files\Shakira_screensaver.exe

パスワード詐取

・MY DOCUMENTSフォルダに、以下の複数のHTML文書を落とし込みます。これらの文書は、有名Webサイト(HOTMAIL、MSN、YAHOOなど)のログインページを偽造したコピーを含んでいます。フォームアクションは、ユーザが入力したユーザ名およびパスワードをYahooグリーティングのフォームでウイルス作成者に送信するように書き換えられています。

  • acafug.htm
  • banamex.htm
  • citibank.htm
  • hotmail.htm
  • msn.htm
  • yahoo.htm

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のファイルが存在します。

  • %WinDir%\mai.vbs
  • %WinDir%\manzana.exe
  • %WinDir%\osiris.bmp
  • %WinDir%\quiettime.bmp
  • %Start Up Folder%\itch.exe
  • %Start Up Folder%\itcj.exe
  • %SysDir%\academia.exe

TOPへ戻る

感染方法

・W32/Bibrog.b@MMは電子メールで繁殖します。実行されると自身をローカルシステムにインストールし、次回のWindows起動時にそれを使用して繁殖活動を行います。

TOPへ戻る