|
|
ウイルス情報| 種別 | ウイルス | 最小定義ファイル
(最初に検出を確認したバージョン) | 4373 | 対応定義ファイル
(現在必要とされるバージョン) | 4374 (現在7080) | | 対応エンジン | 4.2.40以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | W32.Beagle.Y@mm (Symantec)
W32/Bagle.AD.worm (Panda)
WORM_BAGLE.AD (Trend) | | 情報掲載日 | 04/07/06 | | 発見日(米国日付) | 04/07/05 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Bagle.ad@MMは大量メール送信型ワームです。特徴は以下のとおりです。
- 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
- ターゲットマシンから電子メールアドレスを収集します。
- メッセージの差出人のアドレスを偽装します。
- 添付ファイルはパスワード保護されたZIPファイルである場合があります。パスワードは本文に記載されています(平文または画像内)。
- リモートアクセスコンポーネントが組み込まれています(ハッカーに通知が送信されます)。
- 名前にsharという語句を含むフォルダ(KaZaa、Bearshare、Limewireなど一般的なピアツーピアアプリケーションのフォルダ)に自身をコピーします。
- W32/Netskyの亜種が感染したマシン上で動作しないよう、W32/Netskyの亜種が使用しているmutexの名前から選択されたさまざまな名前を使用します。
- サンプルは、UPXランタイム圧縮プログラムで圧縮されています。
注:W32/Bagle.ad@MMは、本文に暗号化されたソースコード(アセンブラ)を格納しています。自身を大量送信する際、ソースコードのコピーも一緒に送信します(ZIP圧縮ファイルであるSOURCES.ZIPに格納)。よって、今後、このソースを使用した亜種が発生する可能性があります。差はほとんどないと予想されますが、以下のパラメータが改変される可能性が高いといえます。
- バックドアが使用するポートの番号
- バックドアのパスワード
- 有効期日
電子メールを介した繁殖
・詳細は以下のとおりです。
差出人:(アドレスを偽装)
件名:
- Re: Msg reply
- Re: Hello
- Re: Yahoo!
- Re: Thank you!
- Re: Thanks :)
- RE: Text message
- Re: Document
- Incoming message
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Notification
- Changes..
- Update
- Fax Message
- Protected message
- RE: Protected message
- Forum notify
- Site changes
- Re: Hi
- Encrypted document,0
本文:
- さまざまな本文が使用されます。暗号化された添付ファイルのパスワードが含まれる場合もあります(平文または画像内)。
添付ファイル:
・以下のファイル名を使用します。
- Information
- Details
- text_document
- Updates
- Readme
- Document
- Info
- Details
- MoreInfo
- Message
・以下のいずれかの拡張子を使用します。
- スクリプトドロッパ - 以下のいずれかのファイル拡張子を使用
- 実行ファイル - 以下のいずれかのファイル拡張子を使用
- 実行可能ドロッパ - CPLのファイル拡張子を持つCPLファイル
・添付ファイルがZIPファイルの場合、暗号化(パスワード保護)されていることがあります。パスワードは本文(平文または画像)に含まれています。
インストール
・W32/Bagle.ad@MMは、LOADER_NAME.EXEというファイル名でWindows Systemディレクトリに自身をコピーします。
- C:\WINNT\SYSTEM32\loader_name.exe
・また、機能を実行する自身のコピーもこのディレクトリに作成します(異なる意味のない文字が付加されています)。
- loader_name.exeopen
- loader_name.exeopenopen
・以下のレジストリキーが追加されてシステム起動時にフックされます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "reg_key " = "C:\WINNT\System32\loader_name.exe"
・W32/Bagle.ad@MMが一度に1回だけ動作するよう、mutexが作成されます。W32/Netskyの特定の亜種が感染マシンで動作しないよう、以下のいずれかのmutex名が使用されます。
- MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
・セキュリティプログラム(および他のワーム)のプロセスを終了しようとします。
・ターゲットマシンの1234ポート(TCP)を開きます。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
以下の症状が見られる場合、このウイルスに感染している可能性があります。
- ターゲットマシンの1234ポート(TCP)が開きます。
- 上記の内容と一致する送信メッセージが存在します。
- 上記のようなファイルとレジストリキーが存在します。
|
|
| 感染方法 | TOPへ戻る | |
電子メールを介した繁殖
・W32/Bagle.ad@MMは、自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。
- .wab
- .txt
- .msg
- .htm
- .shtm
- .stm
- .xml
- .dbx
- .mbx
- .mdx
- .eml
- .nch
- .mmf
- .ods
- .cfg
- .asp
- .php
- .pl
- .wsh
- .adb
- .tbb
- .sht
- .xls
- .oft
- .uin
- .cgi
- .mht
- .dhtm
- .jsp
・[差出人]フィールドから収集したアドレスを使用して、送信者のアドレスを偽装します。
・ただし、以下を含むアドレスには自身を送信しません。
- @hotmail
- @msn
- @microsoft
- rating@
- f-secur
- news
- update
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- google
- winrar
- samples
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster
ピアツーピアを介した繁殖
・sharという語句を含むフォルダにファイルを作成します。
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Microsoft Office XP working Crack, Keygen.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Porno Screensaver.scr
- Serials.txt.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
- Porno pics arhive, xxx.exe
- Windows Sourcecode update.doc.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe,0
リモートアクセスコンポーネント
・W32/Bagle.ad@MMは、TCPポート1234上で受信待機して、リモート接続を確認します。さまざまなウェブサイトにアクセスし、リモートサイト上のPHPスクリプトを呼び出して、感染したシステムがコマンドの受信準備が整ったことを作成者に通知しようとします。
・また、2005年1月25日を過ぎると、W32/Bagle.ad@MMのコンポーネントが停止されます。
|
|
| 駆除方法 | TOPへ戻る | ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。Windows ME/XPでの駆除についての補足
■Stinger
駆除ツールStingerがW32/Bagleに対応しています。ダウンロードはこちら
|
|
|
|
|  |
