製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.af@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4377
対応定義ファイル
(現在必要とされるバージョン)
4379 (現在7558)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Bagle.af (AVP)
W32.Beagle.AB@mm (NAV)
W32/Bagle-AF (Sophos)
W32/Bagle.AF.worm (Panda)
Win32.Bagle.AB (CA)
WORM_BAGLE.AF (Trend)
情報掲載日04/07/16
発見日(米国日付)04/07/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/10RDN/Generic ...
09/10RDN/Generic....
09/10RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7558
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2004年7月22日更新
感染が弱まってきたため、危険度を"中"に引き下げました。

・W32/Bagle.af@MMは大量メール送信型ワームで、以下のような特徴があります。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します。
  • 添付ファイルはパスワード保護されたZIPファイルである場合があります。パスワードは本文に記載されています。
  • リモートアクセスコンポーネントが組み込まれています(ハッカーに通知が送信されます)。
  • 名前にsharという語句を含むフォルダ(KaZaa、Bearshare、Limewireなど一般的なピアツーピアアプリケーションのフォルダ)に自身をコピーします。
  • W32/Netskyの亜種が感染したマシン上で動作しないよう、W32/Netskyの亜種が使用しているmutexの名前から選択されたさまざまな名前を使用します。
  • セキュリティプログラム(および他のワーム)のプロセスを終了しようとします。
  • セキュリティプログラム(および他のワーム)のレジストリエントリーを削除します。
電子メールを介した繁殖

差出人:(アドレスを偽装)
添付ファイル名は以下のいずれかが選択されます。

  • Information
  • Details
  • text_document
  • Updates
  • Readme
  • Document
  • Info
  • Details
  • Message
・W32/Bagle.af@MMは件名と本文を選択する際には異なるリストのセットを使用し、これは添付ファイルがパスワード保護されたZIPファイルで送信されたかどうかで決められます。

・ZIPファイル以外(.EXE, .SCR,.COM,.ZIP, .CPL)の場合は以下のとおり

件名:

  • Re: Msg reply
  • Re: Hello
  • Re: Yahoo!
  • Re: Thank you!
  • Re: Thanks :)
  • RE: Text message
  • Re: Document
  • Incoming message
  • Re: Incoming Message
  • RE: Incoming Msg
  • RE: Message Notify
  • Notification
  • Changes..
  • Update
  • Fax Message
  • Protected message
  • RE: Protected message
  • Forum notify
  • Site changes
  • Re: Hi
  • Encrypted document
本文:
  • Read the attach.
  • Your file is attached.
  • More info is in attach
  • See attach.
  • Please, have a look at the attached file.
  • Your document is attached.
  • Please, read the document.
  • Attach tells everything.
  • Attached file tells everything.
  • Check attached file for details.
  • Check attached file.
  • Pay attention at the attach.
  • See the attached file for details.
  • Message is in attach
  • Here is the file.
・パスワード保護されたZIPファイルの場合は以下のとおり

件名:

  • Password:
  • Pass -
  • Password -
本文:
  • For security reasons attached file is password protected. The password is
  • For security purposes the attached file is password protected. Password --
  • Note: Use password to open archive.
  • Attached file is protected with the password for security reasons. Password is
  • In order to read the attach you have to use the following password:
  • Archive password:
  • Password -
  • Password:
また、パスワード保護されたZIPファイルには2つ目の、以下のいずれかの拡張子のついたランダムに名前の付けられたファイルが入っています。
  • .ini
  • .cfg
  • .txt
  • .vxd
  • .def
  • .dll
・これらのファイルにはランダムな意味のない文字が含まれています。

インストール

・W32/Bagle.af@MMは、sysxp.exeというファイル名でWindows Systemディレクトリに自身をコピーします。

  • C:\WINNT\SYSTEM32\sysxp.exe
・また、自身の機能を実行する他のファイルもこのディレクトリに作成します。
  • sysxp.exeopen
  • sysxp.exeopenopen
・以下のレジストリキーが追加されてシステム起動時にフックされます。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "key" = "C:\WINNT\SYSTEM32\sysxp.exe"
・W32/Bagle.af@MMが一度に1回だけ動作するよう、mutexが作成されます。W32/Netskyの特定の亜種が感染マシンで動作しないよう、以下のいずれかのmutex名が使用されます。
  • ZonesCounterMutex
  • ZonesCacheCounterMutex
  • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
  • 'D'r'o'p'p'e'd'S'k'y'N'e't'
  • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
  • [SkyNet.cz]SystemsMutex
  • AdmSkynetJklS003
  • ____--->>>>U<<<<--____
  • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
  • RasPbFile

感染マシンの1080ポート(TCP)およびランダムなUDPポートを開きます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 感染マシンの1234ポート(TCP)が開く。
  • 上記の内容と一致する送信メッセージが存在します。
  • 上記のようなファイルとレジストリキーが存在します。

感染方法TOPへ戻る
電子メールを介した繁殖

・W32/Bagle.af@MMは、自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • jsp
・[差出人]フィールドから収集したアドレスを使用して、送信者のアドレスを偽装します。

・ただし、以下の文字列を含むアドレスには自身を送信しません。

  • @hotmail
  • @msn
  • @microsoft
  • rating@
  • f-secur
  • news
  • update
  • anyone@
  • bugs@
  • contract@
  • feste
  • gold-certs@
  • help@
  • info@
  • nobody@
  • noone@
  • kasp
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • sopho
  • @foo
  • @iana
  • free-av
  • @messagelab
  • winzip
  • google
  • winrar
  • samples
  • abuse
  • panda
  • cafee
  • spam
  • pgp
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@
ピアツーピアを介した繁殖

sharという語句を含むフォルダにファイルを作成します。

  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Porno Screensaver.scr
  • Serials.txt.exe
  • KAV 5.0
  • Kaspersky Antivirus 5.0
  • Porno pics arhive, xxx.exe
  • Windows Sourcecode update.doc.exe
  • Ahead Nero 7.exe
  • Windown Longhorn Beta Leak.exe
  • Opera 8 New!.exe
  • XXX hardcore images.exe
  • WinAmp 6 New!.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • Adobe Photoshop 9 full.exe
  • Matrix 3 Revolution English Subtitles.exe
  • ACDSee 9.exe,0
レジストリエントリーの削除

・セキュリティ製品およびワームに関連するレジストリエントリーが削除されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "My AV"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "My AV"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Zone Labs Client Ex"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Zone Labs Client Ex"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "9XHtProtect"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "9XHtProtect"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Antivirus"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Antivirus"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Special Firewall Service"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Special Firewall Service"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "service"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "service"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Tiny AV"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Tiny AV"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "ICQNet"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "ICQNet"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "HtProtect"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "HtProtect"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "NetDy"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "NetDy"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Jammer2nd"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Jammer2nd"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "FirewallSvr"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "FirewallSvr"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "MsInfo"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "MsInfo"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "SysMonXP"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "SysMonXP"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "EasyAV"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "EasyAV"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "PandaAVEngine"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "PandaAVEngine"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Norton Antivirus AV"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Norton Antivirus AV"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "KasperskyAVEng"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "KasperskyAVEng"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "SkynetsRevenge"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "SkynetsRevenge"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "ICQ Net"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "ICQ Net"
リモートアクセスコンポーネント

・W32/Bagle.af@MMは、TCPポート1080上で受信待機して、リモート接続を確認します。さまざまなウェブサイトにアクセスし、リモートサイト上のPHPスクリプトを呼び出して、感染したシステムがコマンドの受信準備が整ったことを作成者に通知しようとします。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagleに対応しています。ダウンロードはこちら