ウイルス情報

ウイルス名 危険度

W32/Bibrog.e@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4254
対応定義ファイル
(現在必要とされるバージョン)
4258 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/03/26
発見日(米国日付) 03/03/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bibrog.e@MMは、定義ファイル4253でW32/Bibrog.e@MMの亜種(特定のワーム名ではなく、ワームの総称)として検出されます。ピアツーピアを介した繁殖で使用されるファイル名以外は、W32/Bibrog.c@MMとほぼ同じです。

・W32/Bibrog.e@MMは大量メール送信型ワームで、MAPIを使用してOutlookのアドレス帳にあるすべての宛先に自身を送信します。また、KaZaa、Grokster、MorpheusおよびICQを介しても繁殖し、さまざまなWebサイト/サービスで使用するアクセスパスワードを詐取します。Big Brotherゲームを装いますが、破壊的な発病ルーチンを含んでいます。

電子メールを介した繁殖

・このワームは、以下のような電子メールメッセージで届きます。

件名: Fwd:La Academia Azteca
本文:La cacademia azteca (muy bueno) 。no es virus!
添付ファイル:academia.exe

・添付ファイルが実行されると、以下のシューティングゲームが表示されます。

・このゲームは一般のシューティングゲームと同じように機能しますが、背後ではウイルスが以下のタスクを実行しています。

  1. START UPフォルダにITCH.EXEおよびITCJ.EXEというファイル名で自身をコピーする。
  2. WINDOWS (%WinDir%)ディレクトリにmanzana.exeというファイル名で自身をコピーする。
  3. SYSTEM (%SysDir%)ディレクトリにacademia.exeというファイル名で自身をコピーする。
  4. 2バイトのテキストファイル“%WinDir%\mai.vbs”を作成する。
  5. %My Documents%フォルダに以下のWebページを複数コピーする。
    • acafug.htm
    • banamex.htm
    • citibank.htm
    • hotmail.htm
    • msn.htm
    • yahoo.htm

・再起動時にITCH.EXEファイルおよびITCJ.EXEファイルが実行され、以下の2つのマーカレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\ezzey\varia "cuento"
  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\ezzey\varia "UpdateRegistry"

・上記のレジストリキーは、ウイルスの実行回数をモニタします。しかしテストでは“cuento”カウンタキーが0から増加しないので、予定された発病ルーチンは実行しませんでした。ウイルスの初回実行時には、上記のレジストリキーは作成されません。システムの再起動後、START UPフォルダのITCH.EXEファイルが呼び出されて作成されます。“CUENTO”キーはITCH.EXEファイルの実行回数を表す値で、“トリガポイント”に到達すると、さまざまな発病ルーチンが実行されます。

発病ルーチン

  1. ITCH.EXEファイルの初回実行時には、大量メール送信ルーチンを実行します。以下の2つの画像ファイルを落とし込み、どちらか1つをデスクトップの壁紙に設定します。

    ・システムが再起動されるたびに、壁紙の画像は変更されます。

  2. その後任意の時点で、すべての.DBF、.DLL、.EXE、.GIF、.HTML、.JPG、.MP3、.MPG、および.ZIPファイルを削除します。ただし、テストでは実行しませんでした。

ピアツーピアを介した繁殖

・このウイルスは、KaZaa、Grokster、Morpheus、およびICQを介しても繁殖します。以下のロケーションに自身のコピーを作成します。

  • KaZaA\My Shared Folder
  • Grokster\My Grokster
  • Morpheus\My Shared Folder
  • ICQ\shared files

・以下のファイル名を使用します。

  • Kylie_Minogue_screensaver.exe
  • Shakira_screensaver.exe

パスワード詐取

・MY DOCUMENTSフォルダに、以下の複数のHTML文書を落とし込みます。これらの文書は、有名Webサイト(HOTMAIL、MSN、YAHOOなど)のログインページを偽造したコピーを含んでいます。フォームアクションは、ユーザが入力したユーザ名およびパスワードをYahooグリーティングのフォームでウイルスの作成者に送信するように書き換えられています。

  • acafug.htm
  • banamex.htm
  • citibank.htm
  • hotmail.htm
  • msn.htm
  • yahoo.htm

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のファイルが存在します。

  • %WinDir%\mai.vbs
  • %WinDir%\manzana.exe
  • %WinDir%\osiris.bmp
  • %WinDir%\quiettime.bmp
  • %Start Up Folder%\itch.exe
  • %Start Up Folder%\itcj.exe
  • %SysDir%\academia.exe

TOPへ戻る

感染方法

・W32/Bibrog.e@MMは電子メールで繁殖します。実行されると自身をローカルシステムにインストールし、次回のWindows起動時にそれを使用して繁殖活動を行います。

TOPへ戻る