製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.aq@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4384
対応定義ファイル
(現在必要とされるバージョン)
4384 (現在7578)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名HTML_BAGLE.AC (Trend)
I-Worm.Bagle.al (AVP)
W32.Beagle.AO@mm (Symantec)
W32/Bagle-AQ (Sophos)
W32/Bagle.AJ@mm (F-Secure)
W32/Bagle.AM.worm (Panda)
WORM_BAGLE.AC (Trend)
情報掲載日04/08/10
発見日(米国日付)04/08/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/30RDN/Generic ...
09/30RDN/Spybot.b...
09/30RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7578
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2004年8月16日更新
感染報告が減少しているため、危険度を「低[要注意]」に下げました。

2004年8月9日更新
このHTMLファイルは、ウイルス定義ファイル4167(2001年11月)以降でJS/IllWillとして検出されます。DLLコンポーネントは、ウイルス定義ファイル4335(2004年3月)以降でW32/Bagle.dll.genとして検出されます。

W32/Bagle.aq@MMに感染しているかどうかが不確かな場合は、駆除ツールStingerをダウンロードして検出・駆除を行ってください。 ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるBagleウイルスに感染したことを示すものではありません。

・W32/Bacle.aq@MMは大量メール送信型ワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します。
  • EXEおよびHTMLファイルを格納したZIPファイルが添付されます。
  • リモートアクセスコンポーネントが組み込まれています(ハッカーに通知が送信されます)。
  • 名前にsharという語句を含むフォルダ(KaZaa、Bearshare、Limewireなど一般的なピアツーピアアプリケーションのフォルダ)に自身をコピーします。
・W32/Bagle.aq@MMはHTMLおよびEXEファイルを格納したZIPファイルを送信します。EXEファイルはZIPファイル内のフォルダに格納されており、Explorer(WinZip、PKzipなどの単体のZIPファイルハンドラではなく)で確認した場合、HTMLファイルと別個のフォルダが表示されます。

・HTMLファイルには、脆弱なシステムで、ダウンローダ型トロイの木馬であるEXEファイルを自動的に実行する、セキュリティホールを突いたコードが格納されています。ダウンローダ型トロイの木馬は多数のリモートWebサイトにアクセスし、ウイルス自身を検索します。

電子メールを介した繁殖

・ダウンロードされるウイルスには、繁殖のためのコードが組み込まれています。詳細は以下のとおりです。

差出人:(アドレスを偽装)
件名:(空白)

本文:

  • new price
・いくつかのZIPファイルはパスワード保護されていることがあります。この場合、以下のいずれかが本文に追加されます。
  • The password is
  • Password:
・パスワードは埋め込まれている画像ファイルに格納されています。

添付ファイル:(以下のいずれか)

  • price.zip
  • price2.zip
  • price_new.zip
  • price_08.zip
  • 08_price.zip
  • newprice.zip
  • new_price.zip
  • new__price.zip
・上記のとおり、ZIPファイルにはPRICE.EXEおよびPRICE.HTMLが格納されています。

・ZIPファイルがWindows Explorer(WinZip、PKzipなどの単体のZIPファイルハンドラではなく)で開かれると、HTMLファイルがEXEファイルを格納したフォルダとともに表示されます。このHTMLファイルが脆弱なシステムで実行されると、EXEファイルを実行します。

・EXEファイルが(HTMLファイルによって手動または自動で)実行されると、WINDIRECT.EXEというファイル名でWindowsのシステムディレクトリに自身をコピーします。

  • C:\WINNT\SYSTEM32\WINdirect.exe
・また、DLLファイルもこのディレクトリにドロップ(作成)します。
  • _dll.exe
DLLファイルはExplorer.exe プロセス内に挿入されるため、W32/Bagle.aq@MMの行動はExplorer.exeが起点となると考えられます。

・以下のレジストリキーが追加されてシステム起動時にフックされます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "win_upd2.exe" = C:\WINNT\SYSTEM32\windll.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "win_upd2.exe" = C:\WINNT\SYSTEM32\windll.exe
・W32/Bagle.aq@MMの実行ファイルがダウンロードされ、ダウンローダ型トロイの木馬によって実行されると、W32/Bagle.aq@MMはWINDLL.EXEという名前でWindowsのシステムディレクトリに自身をコピーします。
  • C:\WINNT\SYSTEM32\windll.exe
・また、自身の機能を実行する他のファイルもこのディレクトリに作成します。
  • C:\WINNT\SYSTEM32\windll.exeopen
  • C:\WINNT\SYSTEM32\windll.exeopenopen
・以下のレジストリキーが追加されてシステム起動時にフックされます。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "erthgdr" = "C:\WINNT\SYSTEM32\windll.exe"
・さらに、以下のレジストリキーが追加されます。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
・W32/Bagle.aq@MMが一度に1回だけ動作するよう、mutexが作成されます。W32/Netskyの特定の亜種が感染マシンで動作しないよう、以下のいずれかのmutex名が使用されます。
  • 'D'r'o'p'p'e'd'S'k'y'N'e't'
  • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
  • [SkyNet.cz]SystemsMutex
  • AdmSkynetJklS003
  • ____--->>>>U<<<<--____
  • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
・ターゲットマシンのポート80(TCP)およびランダムなUDPポートを開きます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • ターゲットマシンの80ポート(TCP)が開きます。
  • 上記の内容と一致する送信メッセージが存在します。
  • 上記のようなファイルとレジストリキーが存在します。

感染方法TOPへ戻る
・電子メールを介した繁殖

・W32/Bagle.aq@MMは、自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • .jsp
・[差出人]フィールドから収集したアドレスを使用して、送信者のアドレスを偽装します。

・ただし、以下を含むアドレスには自身を送信しません。

  • @eerswqe
  • @derewrdgrs
  • @microsoft
  • rating@
  • f-secur
  • news
  • update
  • anyone@
  • bugs@
  • contract@
  • feste
  • gold-certs@
  • help@
  • info@
  • nobody@
  • noone@
  • kasp
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • sopho
  • @foo
  • @iana
  • free-av
  • @messagelab
  • winzip
  • google
  • winrar
  • samples
  • abuse
  • panda
  • cafee
  • spam
  • pgp
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@
ピアツーピアを介した繁殖

・sharという語句を含むフォルダにファイルを作成します。

  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Porno Screensaver.scr
  • Serials.txt.exe
  • KAV 5.0
  • Kaspersky Antivirus 5.0
  • Porno pics arhive, xxx.exe
  • Windows Sourcecode update.doc.exe
  • Ahead Nero 7.exe
  • Windown Longhorn Beta Leak.exe
  • Opera 8 New!.exe
  • XXX hardcore images.exe
  • WinAmp 6 New!.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • Adobe Photoshop 9 full.exe
  • Matrix 3 Revolution English Subtitles.exe
  • ACDSee 9.exe
プロセスの終了

・W32/Bagle.aq@MMは、他のワーム、および自身の活動の識別や干渉に使用される可能性のある製品に関連する、以下のファイル名に一致するプロセスを終了します。

  • FIREWALL.EXE
  • ATUPDATER.EXE
  • winxp.exe
  • sys_xp.exe
  • sysxp.exe
  • LUALL.EXE
  • DRWEBUPW.EXE
  • AUTODOWN.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • ESCANH95.EXE
  • AVXQUAR.EXE
  • ESCANHNT.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVXQUAR.EXE
  • AVWUPD32.EXE
  • AVPUPD.EXE
  • CFIAUDIT.EXE
  • UPDATE.EXE
  • NUPGRADE.EXE
  • MCUPDATE.EXE
ダウンロード

・ダウンローダコンポーネントにはJPGファイルを検索するWebサイトのリストが組み込まれています。このJPGファイルは、実際にはEXEファイルとして保存、実行されます。ファイルには画像は格納されておらず、実行可能なコンテンツのみが格納されています。リストアップされているWebサイトの一部は登録されていない、あるいは無効なURLです。これは、W32/Bagle.aq@MMの本当の発生場所がわからないようにするためと思われます。

  • polobeer.de
  • r2626r.de
  • kooltokyo.ru
  • mmag.ru
  • advm1.gm.fh-koeln.de
  • evadia.ru
  • megion.ru
  • molinero-berlin.de
  • dozenten.f1.fhtw-berlin.de
  • shadkhan.ru
  • sacred.ru
  • kypexin.ru
  • www.gantke-net.com
  • www.mcschnaeppchen.com
  • www.rollenspielzirkel.de
  • 134.102.228.45
  • 196.12.49.27
  • aus-Zeit.com
  • lottery.h11.ru
  • herzog.cs.uni-magdeburg.de
  • yaguark.h10.ru
  • 213.188.129.72
  • thorpedo.us
  • szm.sk
  • lars-s.privat.t-online.de
  • www.no-abi2003.de
  • www.mdmedia.org
  • abi-2004.org
  • sovea.de
  • www.porta.de
  • matzlinger.com
  • pocono.ru
  • controltechniques.ru
  • alexey.pioneers.com.ru
  • momentum.ru
  • omegat.ru
  • www.perfectgirls.net
  • porno-mania.net
  • colleen.ai.net
  • ourcj.com
  • free.bestialityhost.com
  • slavarik.ru
  • burn2k.ipupdater.com
  • carabi.ru
  • spbbook.ru
  • binn.ru
  • sbuilder.ru
  • protek.ru
  • www.PlayGround.ru
  • celine.artics.ru
  • www.artics.ru
  • www.laserbuild.ru
  • www.lamatec.com
  • www.sensi.com
  • www.oldtownradio.com
  • www.youbuynow.com
  • 64.62.172.118
  • www.tayles.com
  • dodgetheatre.com
  • www.thepositivesideofsports.com
  • www.bridesinrussia.com
  • fairy.dataforce.net
  • www.pakwerk.ru
  • home.profootball.ru
  • www.ankil.ru
  • www.ddosers.net
  • tarkosale.net
  • www.boglen.com
  • change.east.ru
  • www.teatr-estrada.ru
  • www.glass-master.ru
  • www.zeiss.ru
  • www.sposob.ru
  • www.glavriba.ru
  • alfinternational.ru
  • euroviolence.com
  • www.webronet.com
  • www.virtmemb.com
  • www.infognt.com
  • www.vivamedia.ru
  • www.zelnet.ru
  • www.dsmedia.ru
  • www.vendex.ru
  • www.elit-line.ru
  • pixel.co.il
  • www.milm.ru
  • dev.tikls.net
  • www.met.pl
  • www.strefa.pl
  • kafka.punkt.pl
  • www.rubikon.pl
  • www.neostrada.pl
  • werel1.web-gratis.net
  • www.tuhart.net
  • www.antykoncepcja.net
  • www.dami.com.pl
  • vip.pnet.pl
  • www.webzdarma.cz
  • emnesty.w.interia.pl
  • niebo.net
  • strony.wp.pl
  • sec.polbox.pl
  • www.phg.pl
  • emnezz.e-mania.pl
  • www.republika.pl
  • www.silesianet.pl
  • www.republika.pl
  • tdi-router.opola.pl
  • republika.pl
  • infokom.pl
  • silesianet.pl
  • terramail.pl
  • silesianet.pl
  • www.iluminati.kicks-ass.net
  • www.dilver.ru
  • www.yarcity.ru
  • www.scli.ru
  • www.elemental.ru
  • diablo.homelinux.com
  • www.interrybflot.ru
  • www.webpark.pl
  • www.rafani.cz
  • gutemine.wu-wien.ac.at
  • przeglad-tygodnik.pl
  • przeglad-tygodnik.pl
  • pb195.slupsk.sdi.tpnet.pl
  • www.ciachoo.pl
  • cavalierland.5u.com
  • www.nefkom.net
  • rausis.latnet.lv
  • www.hgr.de
  • www.airnav.com
  • www.astoria-stuttgart.de
  • ultimate-best-hgh.0my.net
  • wynnsjammer.proboards18.com
  • www.jewishgen.org
  • www.hack-gegen-rechts.com
  • host.wallstreetcity.com
  • quotes.barchart.com
  • www.aannemers-nederland.nl
  • www.sjgreatdeals.com
  • financial.washingtonpost.com
  • www.biratnagarmun.org.np
  • hsr.zhp.org.pl
  • traveldeals.sidestep.com
  • www.hbz-nrw.de
  • www.ifa-guide.co.uk
  • www.inversorlatino.com
  • www.zhp.gdynia.pl
  • host.businessweek.com
  • packages.debian.or.jp
  • www.math.kobe-u.ac.jp
  • www.k2kapital.com
  • www.tanzen-in-sh.de
  • www.wapf.com
  • www.hgrstrailer.com
  • www.forbes.com
  • www.oshweb.com
  • www.rumbgeo.ru
  • www.dicto.ru
  • www.busheron.ru
  • www.omnicom.ru
  • www.teleline.ru
  • www.dynex.ru
  • www.gamma.vyborg.ru
  • nominal.kaliningrad.ru
  • www.baltmatours.com
  • www.interfoodtd.ru
  • www.baltnet.ru
  • www.neprifan.ru
  • photo.gornet.ru
  • www.aktor.ru
  • catalog.zelnet.ru
  • www.sdsauto.ru
  • www.gradinter.ru
  • www.avant.ru
  • www.porsa.ru
  • www.taom-clan.de
  • www.perfectjewel.com
  • www.vrack.net
  • www.netradar.com
  • www.pgipearls.com
  • www.vconsole.net
  • www.ccbootcamp.com
  • host23.ipowerweb.com
  • www.timelessimages.com
  • www.peterstar.ru
  • www.5100.ru
  • www.gin.ru
  • www.rweb.ru
  • www.metacenter.ru
  • www.biysk.ru
  • www.free-time.ru
  • www.rastt.ru
  • www.chelny.ru
  • www.chat4adult.com
  • www.landofcash.net
  • relay.great.ru
  • www.kefaloniaresorts.com
  • www.epski.gr
  • www.myrtoscorp.com
  • www.aphel.de
  • www.intellect.lvc
  • www.abcdesign.ru
レジストリ項目の削除

・以下の両方のスタートアップ場所について、

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
他のワームおよびセキュリティ製品に関連する以下のキーを削除します。
  • "My AV"
  • "Zone Labs Client Ex"
  • "9XHtProtect"
  • "Antivirus"
  • "Special Firewall Service"
  • "service"
  • "Tiny AV"
  • "ICQNet"
  • "HtProtect"
  • "NetDy"
  • "Jammer2nd"
  • "FirewallSvr"
  • "MsInfo"
  • "SysMonXP"
  • "EasyAV"
  • "PandaAVEngine"
  • "Norton Antivirus AV'
  • "KasperskyAVEng"
  • "SkynetsRevenge"
  • "ICQ Net"
リモートアクセスコンポーネント

・W32/Bagle.aq@MMは、TCPポート80およびランダムなUDPポート上で受信待機して、リモート接続を確認します。さまざまなウェブサイトにアクセスし、リモートサイト上のPHPスクリプトを呼び出して、感染したシステムがコマンドの受信準備が整ったことを作成者に通知しようとします。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagleに対応しています。ダウンロードはこちら

■手動で駆除する場合の手順

  1. システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)から下記のファイルを削除します。
    windll.exe
    windll.exeopen
    windll.exeopenopen
  3. レジストリを編集します。
    "windll.exe"という値を以下から削除します。
    • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
  4. デフォルトモードでシステムを再起動します。

■McAfee Desktop Firewall
McAfee Desktop Firewallユーザは受信TCPポート80をブロックすることで不正なリモートアクセスを防げます。