製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bibrog.b@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4252
対応定義ファイル
(現在必要とされるバージョン)
4253 (現在7495)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/03/06
発見日(米国日付)03/03/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bibrog.b@MMは大量メール送信型ワームで、MAPIを使用してOutlookのアドレス帳にあるすべての宛先に自身を送信します。また、KaZaa、Grokster、MorpheusおよびICQを介しても繁殖し、さまざまなWebサイト/サービスで使用するアクセスパスワードを詐取します。このウイルスはBig Brotherゲームを装いますが、破壊的な発病ルーチンを含んでいます。

電子メールを介した繁殖

・このワームは、以下のような電子メールメッセージで届きます。
件名: FwdLa Academia Azteca
本文: La cacademia azteca (muy bueno) 。no es virus!
添付ファイル: academia.exe

・添付ファイルが実行されると、次のシューティングゲームが表示されます。

・このゲームは一般のシューティングゲームと同じように機能しますが、背後ではウイルスが以下のタスクを実行しています。

  1. START UPフォルダにITCH.EXEおよびITCJ.EXEというファイル名で自身をコピーする。
  2. WINDOWS (%WinDir%)ディレクトリにmanzana.exeというファイル名で自身をコピーする。
  3. SYSTEM (%SysDir%)ディレクトリにacademia.exeというファイル名で自身をコピーする。
  4. 2バイトのテキストファイル“%WinDir%\mai.vbs”を作成する。
  5. %My Documents%フォルダに以下のWebページを複数コピーする。
    • acafug.htm
    • banamex.htm
    • citibank.htm
    • hotmail.htm
    • msn.htm
    • yahoo.htm

・再起動時にITCH.EXEファイルおよびITCJ.EXEファイルが実行され、以下の2つのマーカレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\ezzey\varia "cuento"
  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\ezzey\varia "UpdateRegistry"

・上記のレジストリキーは、ウイルスの実行回数をモニタします。しかしテストでは“cuento”カウンタキーが0から増加しないので、予定された発病ルーチンは実行しませんでした。ウイルスの初回実行時には、上記のレジストリキーは作成されません。システムの再起動後、START UPフォルダのITCH.EXEファイルが呼び出されて作成されます。“CUENTO”キーはITCH.EXEファイルの実行回数を表す値で、“トリガポイント”に到達すると、さまざまな発病ルーチンが実行されます。

発病ルーチン

  1. ITCH.EXEファイルの初回実行時には、大量メール送信ルーチンを実行します。以下の2つの画像ファイルを落とし込み、どちらか1つをデスクトップの壁紙に設定します。

  2. ・システムが再起動されるたびに、壁紙の画像は変更されます。

  3. その後任意の時点で、すべての.DBF、.DLL、.EXE、.GIF、.HTML、.JPG、.MP3、.MPG、および.ZIPファイルを削除します。ただし、テストでは実行しませんでした。

ピアツーピアを介した繁殖

・このウイルスは、KaZaa、Grokster、Morpheus、およびICQを介しても繁殖します。以下のロケーションに自身のコピーを作成します。

  • KaZaA\My Shared Folder\Kylie_Minogue_screensaver.exe
  • KaZaA\My Shared Folder\Shakira_screensaver.exe
  • Grokster\My Grokster\Kylie_Minogue_screensaver.exe
  • Grokster\My Grokster\Shakira_screensaver.exe
  • Morpheus\My Shared Folder\Kylie_Minogue_screensaver.exe
  • Morpheus\My Shared Folder\Shakira_screensaver.exe
  • ICQ\shared files\Kylie_Minogue_screensaver.exe
  • ICQ\shared files\Shakira_screensaver.exe

パスワード詐取

・MY DOCUMENTSフォルダに、以下の複数のHTML文書を落とし込みます。これらの文書は、有名Webサイト(HOTMAIL、MSN、YAHOOなど)のログインページを偽造したコピーを含んでいます。フォームアクションは、ユーザが入力したユーザ名およびパスワードをYahooグリーティングのフォームでウイルス作成者に送信するように書き換えられています。

  • acafug.htm
  • banamex.htm
  • citibank.htm
  • hotmail.htm
  • msn.htm
  • yahoo.htm

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のファイルが存在します。

  • %WinDir%\mai.vbs
  • %WinDir%\manzana.exe
  • %WinDir%\osiris.bmp
  • %WinDir%\quiettime.bmp
  • %Start Up Folder%\itch.exe
  • %Start Up Folder%\itcj.exe
  • %SysDir%\academia.exe

感染方法TOPへ戻る

・W32/Bibrog.b@MMは電子メールで繁殖します。実行されると自身をローカルシステムにインストールし、次回のWindows起動時にそれを使用して繁殖活動を行います。