・W32/Bagle.c@MMは大量メール送信型ワームです。特長は以下のとおり。
- 送信メッセージ作成用のSMTPエンジンを内蔵している。
- 感染マシンからメールアドレスを抽出
- メッセージの「差出人」は偽装アドレスが使われる
- リモートアクセスコンポーネントを持つ(通知がハッカーに送信される)
・以下のような電子メールメッセージで届きます。
差出人:(偽装アドレスが使われる)
本文:(本文は空白)
件名:
-
Accounts department
-
Ahtung!
-
Camila
-
Daily activity report
-
Flayers among us
-
Freedom for everyone
-
From Hair-cutter
-
From me
-
Greet the day
-
Hardware devices price-list
-
Hello my friend
-
Hi!
-
Jenny
-
Jessica
-
Looking for the report
-
Maria
-
Melissa
-
Monthly incomings summary
-
New Price-list
-
Price
-
Price list
-
Pricelist
-
Price-list
-
Proclivity to servitude
-
Registration confirmation
-
The account
-
The employee
-
The summary
-
USA government abolishes the capital punishment
-
Weekly activity report
-
Well...
-
You are dismissed
-
You really love me? he he
添付ファイル:ZIPファイル内にあるランダムに名前の付けられたバイナリーファイル(〜16キロバイト)
・ZIPアーカイブ内のEXEファイルは以下のようなアイコンを使用し、Excelファイルを装います。
・W32/Bagle.b@MMウイルスのようにシステム日付をチェックします。日付が2004年4月14日以降の場合、ワームは速やかに終了し、繁殖しません。
・ファイルが起動すると、Notepad.exeファイルがブランクウィンドウと一緒に開きます。
・ワームは以下のように、README.EXEとしてワーム自身をウィンドウズシステムディレクトリ内にコピーします。
- C:\WINNT\SYSTEM32\README.EXE
・また以下のファイルもこのディレクトリ内に各ファンクションを実行するために作成されます。
- onde.exe (18,944 バイト) - メール機能を実行するDLLファイル
- doc.exe (1,536 バイト) - DLLファイルローダー
- readme.exeopen (〜16キロバイト) - メール経由で送信されるZIPファイル
・システムスタートアップをフックするために以下のレジストリキーが追加されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "gouday.exe" = C:\WINNT\SYSTEM32\README.EXE
・以下のレジストリキーも追加します。
- HKEY_CURRENT_USER\Software\DateTime2 "frun"
- HKEY_CURRENT_USER\Software\DateTime2 "uid"
- HKEY_CURRENT_USER\Software\DateTime2 "port"
・正確に1度に1つのワームのインスタンスが実行されるように、”imain_mutex”と呼ばれるミューテクスが作成されます。
・ワームは以下のファイル名を持つセキュリティプログラムを強制終了します。
- ATUPDATER.EXE
-
ATUPDATER.EXE
-
AUPDATE.EXE
-
AUTODOWN.EXE
-
AUTOTRACE.EXE
-
AUTOUPDATE.EXE
-
AVLTMAIN.EXE
-
AVPUPD.EXE
-
AVWUPD32.EXE
-
AVXQUAR.EXE
-
CFIAUDIT.EXE
-
DRWEBUPW.EXE
-
ICSSUPPNT.EXE
-
ICSUPP95.EXE
-
LUALL.EXE
-
MCUPDATE.EXE
-
NUPGRADE.EXE
-
NUPGRADE.EXE
-
OUTPOST.EXE
-
UPDATE.EXE
