製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bibrog@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4246
対応定義ファイル
(現在必要とされるバージョン)
4253 (現在7401)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Bibrog@mm (Symantec)
亜種
情報掲載日03/01/31
発見日(米国日付)03/01/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bibrog@MMは大量メール送信型ウイルスで、Outlookのアドレス帳にあるすべての宛先にMAPIを使用して自身を送信します。このウイルスはBig Brotherゲームを装いますが、破壊的な発病ルーチンを含んでいます。パス名がハードコード化されているので、ほとんどのWindows NT/2000/XPシステムでこのウイルスが繁殖したり、発病ルーチンを実行したりすることはありません。

・W32/Bibrog@MMは、以下のような電子メールメッセージで届きます

件名: BigBrother Mexico Shooter
本文: BigBrother Mexico Shooter Atinale a todos
添付ファイル: bigburros.exe

・添付ファイルが実行されると、次のシューティングゲームが表示されます。

・このゲームは一般のシューティングゲームと同じように機能しますが、背後ではウイルスが以下のタスクを実行しています。

1.START UPフォルダにITCH.EXEというファイル名で自身をコピーする。
2.WINDOWS(%WinDir%)ディレクトリにbigburros.exeというファイル名で自身をコピーする。
3.SYSTEM(%SysDir%)ディレクトリにBigBrother.exeというファイル名で自身をコピーする。
4.テキストファイル“%WinDir%\bigbrother.txt”を作成する。

・再起動時にITCH.EXEファイルが実行され、以下の2つのマーカーレジストリキーを作成します。

●HKEY_CURRENT_USER\Software\VB and VBA Program Settings\yezz\varia "cuento"

●HKEY_CURRENT_USER\Software\VB and VBA Program Settings\yezz\varia "UpdateRegistry"

・上記のレジストリキーは、ITCH.EXEファイルを使用してウイルスを実行した回数をモニターします。したがって、ウイルスの初回起動時にはこれらのレジストリキーは作成されません。システムの再起動後、START UPフォルダのITCH.EXEファイルが呼び出されて作成されます。“CUENTO”キーはITCH.EXEファイルの実行回数を表す値で、“トリガーポイント”に到達すると、さまざまな発病ルーチンが実行されます。

1.ITCH.EXEファイルの初回実行時には、大量メール送信ルーチンを実行します。以下の2つの画像ファイルを落とし込み、どちらか1つをデスクトップの壁紙に設定します。

・また、ローカルシステム上のすべての.GIF、.HTML、.JPG、.ZIPファイルを削除します。

2.3度目の実行時にはデスクトップの壁紙を再設定し、ローカルシステム上のすべての.DLL、.EXE、.MP3、.MPGファイルを削除します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のファイルが存在します。

●%WinDir%\bigbrother.txt
●%WinDir%\bigburros.exe
●%WinDir%\facult.bmp
●%WinDir%\mavs.bmp
●%WinDir%\START MENU\PROGRAMS\START UP\itch.exe
●%WinDir%\MENル INICIO\PROGRAMAS\INICIO\itch.exe
●%SysDir%\BigBrother.exe

感染方法TOPへ戻る
・IRC/Backdoor.fは、mIRCフォルダのSCRIPT.INIファイルにあります。ユーザがmIRCを起動するとスクリプトが読み込まれ、UDPポート33を開きます。

・W32/Bibrog@MMは電子メールで繁殖します。実行されると、ローカルシステム上に自身をインストールし、次回のWindows起動時にそれを使用して繁殖活動を行います。START UPフォルダへのパスはハードコード化されているので、以下のパスが存在しないシステムでは上記のように機能することはありません。

●%WinDir%\START MENU \PROGRAMS\START UP\

●%WinDir%\MENル INICIO\PROGRAMAS\INICIO\

・上記のパスは、通常、Windos 9x/MEシステム以外には存在しません。