製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bugbear@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4226
対応定義ファイル
(現在必要とされるバージョン)
4346 (現在7513)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Bugbear@mm (Symantec), W32/Bugbear-A (Sophos), W32/Bugbear.A@mm (F-Secure), W32/Bugbear.worm, W32/Tanat, W32/Tanat-mm, Win32Bugbear (CA), Worm/Tanatos (CentralCommand), WORM_NATOSTA.A (Trend)
情報掲載日02/10/01
発見日(米国日付)02/09/30
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/27RDN/Generic ...
07/27W32/Sdbot.wo...
07/27RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7513
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

2003年1月16日更新情報
感染報告が減少傾向にあるため、危険度を「中」から「低」に下げました。

2002年10月17日更新情報
感染が弱まってきたので、危険度を "高" から "中" に引き下げました。

2002年10月9日更新情報
W32/Bugbear@MM はクマのアイコンではなく、.EXE ファイルの一般的なアイコンです。

JDBGMGR.EXE hoax の新しいバージョンが出回っており、これはユーザーをだましてクマのアイコンを使用するファイルを削除させるものです。JDBGMGR.EXE と W32/Bugbear@MM は関係ありません。

2002年10月4日更新情報
感染拡大の為、危険度を "高" に上げました。

  • 駆除ツールを公開しました。こちら をご覧ください。

2002年10月3日更新情報
感染拡大の為、危険度を "中 [要警戒]" に上げました。

  • このウイルスは、メールの "差出人" を変更したり、偽造することが出来ます。(感染マシンで見つかったアドレスを使用することもあります)
    2つのアドレスを結合させて偽造したアドレスを使用することが出来ます。(例 : name1@domain1.com + name2@domain2.com = name1@domain2.com )

  • このウイルスは、MSVCで書かれており、UPXで圧縮されています。ネットワーク共有とメール送信の二つの繁殖経路を持ちます。また、キーロギング(キーボード操作を記録する)機能を持つバックドア型トロイの木馬コンポーネントを含んでいます。

メール大量送信機能について

  • このウイルスは、ローカル システムで検出されたアドレスに自身を電子メールで送信します。ウイルスメールの「件名」としては以下のものが確認されています(これ以外の件名がランダムに作成されることもありえます)

    • 25 merchants and rising
    • Announcement
    • bad news
    • CALL FOR INFORMATION!
    • click on this!
    • Correction of errors
    • Cows
    • Daily Email Reminder
    • empty account
    • fantastic
    • free shipping!
    • Get 8 FREE issues - no risk!
    • Get a FREE gift!
    • Greets!
    • Hello!
    • Hi!
    • history screen
    • hmm..
    • I need help about script!!!
    • Interesting...
    • Introduction
    • its easy
    • Just a reminder
    • Lost & Found
    • Market Update Report
    • Membership Confirmation
    • My eBay ads
    • New bonus in your cash account
    • New Contests
    • new reading
    • News
    • Payment notices
    • Please Help...
    • Re: $150 FREE Bonus!
    • Report
    • SCAM alert!!!
    • Sponsors needed
    • Stats
    • Today Only
    • Tools For Your Online Business
    • update
    • various
    • Warning!
    • wow!
    • Your Gift
    • Your News Alert

  • メール本文は一定ではありません。また受信者のシステムの中のファイルの断片によって構成されている場合もあります。添付ファイルの名前も同様に一定ではありませんが、これについては以下の文字列を含んでいることが分かっています。

    • Card
    • Docs
    • image
    • images
    • music
    • news
    • photo
    • pics
    • readme
    • resume
    • Setup
    • song
    • video

  • また添付ファイルの拡張子にはユーザーを欺くための二重拡張子(例:XXX.doc.pif)が使われます。このウイルスはマイクロソフト・インターネット・エクスプローラ(5.01または5.5 SP2なし)の不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)の脆弱点を悪用しています。e500などのゲートウエイ製品は、この脆弱点それ自体を、「Exploit-MIME.gen.」または「Exploit-MIME.gen.exe」という名称で検出します。W32/Klez.h@MM 等多くのウイルスが、ゲートウェイで「Exploit-MIME.gen.」として検出されます。

システムの改変について

  • このウイルスがローカルPCで作動した場合、ウイルスはまず自分自身を%WinDir%\System に、****.EXEというファイル名でコピーします( * にはランダムな文字が入ります)。テストを行ってみると例えば以下のようなファイル名が現れました。

    • Win98 : C:\WINDOWS\SYSTEM\FYFA.EXE
    • 2k Pro : C:\WINNT\SYSTEM32\FVFA.EXE

  • また、次回起動時にフックをかけられるよう、以下のようにレジストリキーが設定されます。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion RunOnce "%random letters%" = %random filename%.EXE (Win9x)

  • このウイルスはスタートアップ・フォルダに自分自身を***.EXEというファイル名で保存します( * にはランダムな文字が入ります)。テストを行ってみると例えば以下のようなファイル名が現れました。

    • Win98 : C:\WINDOWS\Start Menu\Programs\Startup\CUK.EXE
    • 2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\CYC.EXE

トロイの木馬の部分について

  • このウイルスは、感染マシンのポート36794を開いて、動作中のプロセスを検索します。検索はプロセスが見つかりしだい終了します。検索対象となるプロセスは、有名ウイルス対策ソフト、ファイアウオールソフトなどです。

  • このリモートアクセスサーバにより、攻撃者はファイルのアップロード、ダウンロード、あるいは実行ファイルの実行、またはプロセスの停止などができるようになります。

  • また、このウイルスは感染マシンに、キーボード打鍵の履歴を取るためのDLLを落とし込みます。このDLLは、PWS-Hooker.dllという名前で検出されます。

ネットワークプリンタへのプリントジョブ発生について

  • ウイルス感染後、すべてのネットワークプリンタにファイルの中身をプリントするジョブを発生します。

ネットワーク共有による繁殖について

  • このウイルスは、ネットワーク内のリモートマシンのスタートアップフォルダに自分自身をコピーしようとします。ファイル名は***.EXEとなります( * にはランダムな文字が入ります)。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

  • ポート36974が開いている
  • 以下のような不審ファイルがある(*はランダムな文字です)

    • %WinDir%\System\****.EXE (50,688 または 50,684 バイト)
    • %WinDir%\******.DAT
    • %WinDir%\******.DAT
    • %WinDir%\System\******.DLL
    • %WinDir%\System\*******.DLL
    • %WinDir%\System\*******.DLL

  • 大容量プリントジョブがネットワークプリンタに送信されます。最大で 500 ページくらい発生します。それらは各ページにランダムなシンボルが1〜2行とほとんどの空白です。最初のページは "MZ" に続く 18 のおかしなシンボルと "=!This program cannot be run in DOS mode" という文章で始まります。他の始まり近くの可視の文字は "Rich5" です。この印刷操作により、プリントサーバのスプールディレクトリ内で、多量の.tmp および .spl ファイル が発生します。

感染方法TOPへ戻る
  • このウイルスはネットワーク共有を通じて繁殖します。また自分自身を送信します。送信の際には自分のSMTPエンジンを使います。また以下のセキュリティプログラムのプロセスを停止させようとします

    • ACKWIN32.exe
    • F-AGNT95.exe
    • ANTI-TROJAN.exe
    • APVXDWIN.exe
    • AUTODOWN.exe
    • AVCONSOL.exe
    • AVE32.exe
    • AVGCTRL.exe
    • AVKSERV.exe
    • AVNT.exe
    • AVP32.exe
    • AVP32.exe
    • AVPCC.exe
    • AVPCC.exe
    • AVPDOS32.exe
    • AVPM.exe
    • AVPM.exe
    • AVPTC32.exe
    • AVPUPD.exe
    • AVSCHED32.exe
    • AVWIN95.exe
    • AVWUPD32.exe
    • BLACKD.exe
    • BLACKICE.exe
    • CFIADMIN.exe
    • CFIAUDIT.exe
    • CFINET.exe
    • CFINET32.exe
    • CLAW95.exe
    • CLAW95CF.exe
    • CLEANER.exe
    • CLEANER3.exe
    • DVP95_0.exe
    • ECENGINE.exe
    • ESAFE.exe
    • ESPWATCH.exe
    • FINDVIRU.exe
    • FPROT.exe
    • IAMAPP.exe
    • IAMSERV.exe
    • IBMASN.exe
    • IBMAVSP.exe
    • ICLOAD95.exe
    • ICLOADNT.exe
    • ICMON.exe
    • ICSUPP95.exe
    • ICSUPPNT.exe
    • IFACE.exe
    • IOMON98.exe
    • JEDI.exe
    • LOCKDOWN2000.exe
    • LOOKOUT.exe
    • LUALL.exe
    • MOOLIVE.exe
    • MPFTRAY.exe
    • N32SCANW.exe
    • NAVAPW32.exe
    • NAVLU32.exe
    • NAVNT.exe
    • NAVW32.exe
    • NAVWNT.exe
    • NISUM.exe
    • NMAIN.exe
    • NORMIST.exe
    • NUPGRADE.exe
    • NVC95.exe
    • OUTPOST.exe
    • PADMIN.exe
    • PAVCL.exe
    • PAVSCHED.exe
    • PAVW.exe
    • PCCWIN98.exe
    • PCFWALLICON.exe
    • PERSFW.exe
    • F-PROT.exe
    • F-PROT95.exe
    • RAV7.exe
    • RAV7WIN.exe
    • RESCUE.exe
    • SAFEWEB.exe
    • SCAN32.exe
    • SCAN95.exe
    • SCANPM.exe
    • SCRSCAN.exe
    • SERV95.exe
    • SPHINX.exe
    • F-STOPW.exe
    • SWEEP95.exe
    • TBSCAN.exe
    • TDS2-98.exe
    • TDS2-NT.exe
    • VET95.exe
    • VETTRAY.exe
    • VSCAN40.exe
    • VSECOMR.exe
    • VSHWIN32.exe
    • VSSTAT.exe
    • WEBSCANX.exe
    • WFINDV32.exe
    • ZONEALARM.exe

駆除方法TOPへ戻る

  • こちら を参照下さい。(駆除ツールを公開しました)