製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bibrog.d@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4253
対応定義ファイル
(現在必要とされるバージョン)
4253 (現在7494)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/03/14
発見日(米国日付)03/03/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/08RDN/Generic....
07/08RDN/Generic....
07/08RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7494
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bibrog.d@MMは大量メール送信型ワームで、MAPIを使用してOutlookのアドレス帳にあるすべての宛先に自身を送信します。また、KaZaa、Grokster、MorpheusおよびICQを介しても繁殖し、さまざまなWebサイト/サービスで使用するアクセスパスワードを詐取します。このウイルスはシューティングゲームを装いますが、破壊的な発病ルーチンを含んでいます。

電子メールを介した繁殖

・このワームは、以下のような電子メールメッセージで届きます。

件名: Fwd:La Academia Azteca
本文: La cacademia azteca (muy bueno) 。no es virus!
添付ファイル: academia.exe

・添付ファイルが実行されると、以下のシューティングゲームが表示されます。

・このゲームは一般のシューティングゲームと同じように機能しますが、背後ではウイルスが以下のタスクを実行しています。

  1. START UPフォルダにITCH.EXEおよびITCJ.EXEというファイル名で自身をコピーする。
  2. WINDOWS (%WinDir%)ディレクトリにmanzana.exeというファイル名で自身をコピーする。
  3. SYSTEM (%SysDir%)ディレクトリにacademia.exeというファイル名で自身をコピーする。
  4. %My Documents%フォルダに以下のWebページを複数コピーする。
    • acafug.htm
    • banamex.htm
    • citibank.htm
    • hotmail.htm
    • msn.htm
    • yahoo.htm

・再起動時にITCH.EXEファイルおよびITCJ.EXEファイルが実行され、以下の2つのマーカレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\pomme\varia "cuento"
  • HKEY_CURRENT_USER\Software\
    VB and VBA Program Settings\pomme\varia "UpdateRegistry"

・上記のレジストリキーは、ウイルスの実行回数をモニタします。ウイルスの初回実行時には、上記のレジストリキーは作成されません。システムの再起動後、START UPフォルダのITCH.EXEファイルが呼び出されて作成されます。“CUENTO”キーはITCH.EXEファイルの実行回数を表す値で、“トリガポイント”に到達すると、さまざまな発病ルーチンが実行されます。

発病ルーチン

  1. ITCH.EXEファイルの初回実行時には、大量メール送信ルーチンを実行します。以下の2つの画像ファイルを落とし込み、どちらか1つをデスクトップの壁紙に設定します。


  2. システムが再起動されるたびに壁紙の画像は変更され、特定の拡張子を持つファイルが削除されます。
  • 3度目の再起動後には、.ZIP、.JPG、および.GIF拡張子を持つファイルが削除されます。
  • 4度目の再起動後には、.DOC、.MPG、および.MP3拡張子を持つファイルが削除されます。
  • 5度目の再起動後には、.EXEおよび.DLL拡張子を持つファイルが削除されます。

ピアツーピアを介した繁殖

・このウイルスは、KaZaa、Grokster、Morpheus、およびICQを介しても繁殖します。以下のロケーションに自身のコピーを作成します。

  • KaZaA\My Shared Folder
  • Grokster\My Grokster
  • Morpheus\My Shared Folder
  • ICQ\shared files

・以下のファイル名を使用します。

  • Alessandra Ambrosia porn Screen_saver.exe
  • Anna Kournikova porn screen_saver.exe
  • Britney Speares porn screen_saver.exe
  • Cameron Diaz porn screeen_saver.exe
  • Charlize Theron porn screen_saver.exe
  • Christina Aguilera porn screen_saver.exe
  • Donna D'Erico porn screen_saver.exe
  • Halle Berry porn screen_saver.exe
  • Helena Christensen porn screen_saver.exe
  • Jenna Jameson porn screen_saver.exe
  • Jesicca Alba porn screen_saver.exe
  • Karina Lombard porn screen_saver.exe
  • Kelly Hu porn screen_saver.exe
  • Kirsten Dunst porn screen_saver.exe
  • Kylie Minogue porn screen_saver.exe
  • Pamela Anderson porn screen_saver.exe
  • Salma Hayek porn screen_saver.exe
  • Sandra Bullock porn screen_saver.exe
  • Shakira porn screen_saver.exe
  • Stacey Keibler porn screen_saver.exe

パスワード詐取

・MY DOCUMENTSフォルダに、以下の複数のHTML文書を落とし込みます。これらの文書は、有名Webサイト(HOTMAIL、MSN、YAHOOなど)のログインページを偽造したコピーを含んでいます。フォームアクションは、ユーザが入力したユーザ名およびパスワードをYahooグリーティングのフォームでウイルスの作成者に送信するように書き換えられています。

  • acafug.htm
  • banamex.htm
  • citibank.htm
  • hotmail.htm
  • msn.htm
  • yahoo.htm

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のファイルが存在します。

  • %WinDir%\manzana.exe
  • %WinDir%\osiris.bmp
  • %WinDir%\quiettime.bmp
  • %Start Up Folder%\itch.exe
  • %Start Up Folder%\itcj.exe
  • %SysDir%\academia.exe

感染方法TOPへ戻る

・W32/Bibrog.d@MMは電子メールで繁殖します。実行されると自身をローカルシステムにインストールし、次回のWindows起動時にそれを使用して繁殖活動を行います。