2004年8月16日更新
感染報告が減少しているため、危険度を「低[要注意]」に下げました。
2004年8月9日更新
このHTMLファイルは、ウイルス定義ファイル4167(2001年11月)以降でJS/IllWillとして検出されます。DLLコンポーネントは、ウイルス定義ファイル4335(2004年3月)以降でW32/Bagle.dll.genとして検出されます。
W32/Bagle.aq@MMに感染しているかどうかが不確かな場合は、駆除ツールStingerをダウンロードして検出・駆除を行ってください。
ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるBagleウイルスに感染したことを示すものではありません。
|
・W32/Bacle.aq@MMは大量メール送信型ワームです。特徴は以下のとおりです。
- 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
- ターゲットマシンから電子メールアドレスを収集します。
- メッセージの差出人のアドレスを偽装します。
- EXEおよびHTMLファイルを格納したZIPファイルが添付されます。
- リモートアクセスコンポーネントが組み込まれています(ハッカーに通知が送信されます)。
- 名前にsharという語句を含むフォルダ(KaZaa、Bearshare、Limewireなど一般的なピアツーピアアプリケーションのフォルダ)に自身をコピーします。
・W32/Bagle.aq@MMはHTMLおよびEXEファイルを格納したZIPファイルを送信します。EXEファイルはZIPファイル内のフォルダに格納されており、Explorer(WinZip、PKzipなどの単体のZIPファイルハンドラではなく)で確認した場合、HTMLファイルと別個のフォルダが表示されます。
・HTMLファイルには、脆弱なシステムで、ダウンローダ型トロイの木馬であるEXEファイルを自動的に実行する、セキュリティホールを突いたコードが格納されています。ダウンローダ型トロイの木馬は多数のリモートWebサイトにアクセスし、ウイルス自身を検索します。
電子メールを介した繁殖
・ダウンロードされるウイルスには、繁殖のためのコードが組み込まれています。詳細は以下のとおりです。
差出人:(アドレスを偽装)
件名:(空白)
本文:
・いくつかのZIPファイルはパスワード保護されていることがあります。この場合、以下のいずれかが本文に追加されます。
- The password is
- Password:
・パスワードは埋め込まれている画像ファイルに格納されています。
添付ファイル:(以下のいずれか)
- price.zip
- price2.zip
- price_new.zip
- price_08.zip
- 08_price.zip
- newprice.zip
- new_price.zip
- new__price.zip
・上記のとおり、ZIPファイルにはPRICE.EXEおよびPRICE.HTMLが格納されています。
・ZIPファイルがWindows Explorer(WinZip、PKzipなどの単体のZIPファイルハンドラではなく)で開かれると、HTMLファイルがEXEファイルを格納したフォルダとともに表示されます。このHTMLファイルが脆弱なシステムで実行されると、EXEファイルを実行します。
・EXEファイルが(HTMLファイルによって手動または自動で)実行されると、WINDIRECT.EXEというファイル名でWindowsのシステムディレクトリに自身をコピーします。
- C:\WINNT\SYSTEM32\WINdirect.exe
・また、DLLファイルもこのディレクトリにドロップ(作成)します。
DLLファイルはExplorer.exe プロセス内に挿入されるため、W32/Bagle.aq@MMの行動はExplorer.exeが起点となると考えられます。
・以下のレジストリキーが追加されてシステム起動時にフックされます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "win_upd2.exe" = C:\WINNT\SYSTEM32\windll.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "win_upd2.exe" = C:\WINNT\SYSTEM32\windll.exe
・W32/Bagle.aq@MMの実行ファイルがダウンロードされ、ダウンローダ型トロイの木馬によって実行されると、W32/Bagle.aq@MMはWINDLL.EXEという名前でWindowsのシステムディレクトリに自身をコピーします。
- C:\WINNT\SYSTEM32\windll.exe
・また、自身の機能を実行する他のファイルもこのディレクトリに作成します。
- C:\WINNT\SYSTEM32\windll.exeopen
- C:\WINNT\SYSTEM32\windll.exeopenopen
・以下のレジストリキーが追加されてシステム起動時にフックされます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "erthgdr" = "C:\WINNT\SYSTEM32\windll.exe"
・さらに、以下のレジストリキーが追加されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
・W32/Bagle.aq@MMが一度に1回だけ動作するよう、mutexが作成されます。W32/Netskyの特定の亜種が感染マシンで動作しないよう、以下のいずれかのmutex名が使用されます。
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
・ターゲットマシンのポート80(TCP)およびランダムなUDPポートを開きます。
