製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.b@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4324
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Bagle.b (AVP)
W32.Alua@mm (NAV)
W32.Aula@mm (NAV)
W32/Tanx.A-mm
W32/Yourid.A.worm (Panda)
Win32.HLLM.Strato.16896 (Dialogue Science)
WORM_BAGLE.B (Trend)
情報掲載日04/02/19
発見日(米国日付)04/02/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2004年2月25日更新情報--

W32/Bagle.b@MMの感染度が下がったため、危険度を「低[要注意]」に引き下げました。

2004年2月18日更新情報

感染報告が増加しているため、危険度を「中」に引き上げました。


・W32/Bagle.b@MMは大量メール送信型ワームです。特長は以下のとおり。

  • 送信メッセージ作成用のSMTPエンジンを内蔵している。
  • 感染マシンからメールアドレスを抽出
  • メッセージの「差出人」は偽装アドレスが使われる
  • リモートアクセスコンポーネントを持つ(通知がハッカーに送信される)

W32/Bagle@MMウイルスのように。、このワームはシステム日付をチェックします。日付が2004年2月25日以降の場合、ワームは速やかに終了し、繁殖しません。

・上記の日付以前の場合、ワームはWindows Sound Recorder(SNDREC32.EXE)アプリケーションを実行します。アイコンはこのアプリケーションと同様のアイコンが使用されます。

・ウイルスはAU.EXEファイルとしてウイルス自身をウィンドウズシステムディレクトリにコピーします。

C:\WINNT\SYSTEM32\AU.EXE

・以下のレジストリキーがシステムスタートアップをフックするために追加されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "au.exe" = C:\WINNT\SYSTEM32\AU.EXE

・さらに、以下の2つのレジストリキーも追加されます。

  • HKEY_CURRENT_USER\Software\Windows2000 "frn"
  • HKEY_CURRENT_USER\Software\Windows2000 "gid"

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・感染マシンのTCPポート8866が開く
・送信メッセージが上記の特徴と一致する
・上記のレジストリキーおよびファイルが存在する

感染方法TOPへ戻る

メールによる繁殖

・W32/Bagle.b@MMは以下のファイルから電子メールアドレスを収集して、自身のSMTPエンジンを使用してこれらの宛先に自身を送信します。

  • .wab
  • .txt
  • .htm
  • .html

・ウイルスは「差出人」欄から取り出したアドレスを使用して送信者を偽装します。

・以下のような電子メールメッセージで届きます。

差出人:(偽装アドレスが使われる)

件名:ID (文字列1)... thanks
本文:
Yours ID (文字列2)
--
Thank

添付ファイル:拡張子が.EXEで、ランダムなファイル名のバイナリファイル(11,264バイト)

・”文字列1”と”文字列2”はランダムな文字列が入ります。

・W32/Bagle@MMは以下の文を含むメールアドレスには大量メール送信をしません。

  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp.

リモートアクセスコンポーネント

・W32/Bagle@MMは、リモート接続の有無をTCPポート8866 で聴取します。このバックドア機能については現在調査中です。

・HTTP経由で通知がハッカーに送信されます。GETリクエスト(ポートナンバーと”ID”を含む)がリモートサーバ上のPHPスクリプトに送られます。以下のドメインのアクセスをブロックすることを推奨します。

  • http://www.47df.de
  • http://www.strato.de
  • http://intern.games-ring.de

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■McAfee IntruShield
McAfee IntruShieldは、このワームおよびそのオリジナルであるW32/Bagleから保護するための包括的なシグネチャをすでに提供しており、これにより、このワームに利用される添付ファイルの一般的なタイプを全てカバーしています。ワームの繁殖を防ぐために、ユーザポリシーの“SMTP: Worm Detected in Attachment”シグネチャで遮断する設定も可能です。このワームを個別に識別するには、ユーザ定義シグネチャ"UDS-SMTP: Worm bagle.b Detected"を適用してください。

■Stinger
駆除ツールStingerがW32/Bagle.b@MMに対応しています。ダウンロードはこちら

・手動で駆除する場合の手順

  1. ・Windows9x/MEをお使いの場合
    システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
    ・WindowsNT/2000/XPをお使いの場合
    AU.EXE プロセスを終了します。
  2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)からAU.EXE ファイルを削除します。
  3. レジストリを編集します。
    "au.exe"という値を以下から削除します。
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run