製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.c@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4329
対応定義ファイル
(現在必要とされるバージョン)
4373 (現在7593)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Bagle.C (F-Secure)
W32.Beagle.C@mm (Symantec)
W32/Bagle-C (Sophos)
Win32.Bagle.C (CA)
WORM_BAGLE.C (Trend)
情報掲載日04/02/28
発見日(米国日付)04/02/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/18Generic.dx!E...
10/18RDN/Download...
10/18RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bagle.c@MMは大量メール送信型ワームです。特長は以下のとおり。

  • 送信メッセージ作成用のSMTPエンジンを内蔵している。
  • 感染マシンからメールアドレスを抽出
  • メッセージの「差出人」は偽装アドレスが使われる
  • リモートアクセスコンポーネントを持つ(通知がハッカーに送信される)

・以下のような電子メールメッセージで届きます。

差出人:(偽装アドレスが使われる)
本文:(本文は空白)
件名:

  • Accounts department
  • Ahtung!
  • Camila
  • Daily activity report
  • Flayers among us
  • Freedom for everyone
  • From Hair-cutter
  • From me
  • Greet the day
  • Hardware devices price-list
  • Hello my friend
  • Hi!
  • Jenny
  • Jessica
  • Looking for the report
  • Maria
  • Melissa
  • Monthly incomings summary
  • New Price-list
  • Price
  • Price list
  • Pricelist
  • Price-list
  • Proclivity to servitude
  • Registration confirmation
  • The account
  • The employee
  • The summary
  • USA government abolishes the capital punishment
  • Weekly activity report
  • Well...
  • You are dismissed
  • You really love me? he he

添付ファイル:ZIPファイル内にあるランダムに名前の付けられたバイナリーファイル(〜16キロバイト)

・ZIPアーカイブ内のEXEファイルは以下のようなアイコンを使用し、Excelファイルを装います。

W32/Bagle.b@MMウイルスのようにシステム日付をチェックします。日付が2004年4月14日以降の場合、ワームは速やかに終了し、繁殖しません。

・ファイルが起動すると、Notepad.exeファイルがブランクウィンドウと一緒に開きます。

・ワームは以下のように、README.EXEとしてワーム自身をウィンドウズシステムディレクトリ内にコピーします。

  • C:\WINNT\SYSTEM32\README.EXE

・また以下のファイルもこのディレクトリ内に各ファンクションを実行するために作成されます。

  • onde.exe (18,944 バイト) - メール機能を実行するDLLファイル
  • doc.exe (1,536 バイト) - DLLファイルローダー
  • readme.exeopen (〜16キロバイト) - メール経由で送信されるZIPファイル

・システムスタートアップをフックするために以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "gouday.exe" = C:\WINNT\SYSTEM32\README.EXE

・以下のレジストリキーも追加します。

  • HKEY_CURRENT_USER\Software\DateTime2 "frun"
  • HKEY_CURRENT_USER\Software\DateTime2 "uid"
  • HKEY_CURRENT_USER\Software\DateTime2 "port"

・正確に1度に1つのワームのインスタンスが実行されるように、”imain_mutex”と呼ばれるミューテクスが作成されます。

・ワームは以下のファイル名を持つセキュリティプログラムを強制終了します。

  • ATUPDATER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・感染マシン上でTCPポート2745が開く。
・送信メッセージが上記の特徴と一致する
・上記のようなファイルやレジストリキーが存在する

感染方法TOPへ戻る

メールによる繁殖

・このウイルスは自身のSMTPエンジンを使用してメッセージを作成します。標的となるメールアドレスは、感染マシン上の以下の拡張子を持つファイルから収集されます。

  • .ADB
  • .ASP
  • .CFG
  • .DBX
  • .EML
  • .HTM
  • .HTML
  • .MDX
  • .MMF
  • .NCH
  • .ODS
  • .PHP
  • .PL
  • .SHT
  • .TXT
  • .WAB

・このウイルスは「差出人」欄から取り出したアドレスを使用して送信者を偽装します。

・以下の文字列を含むアドレスには送信しません。

  • @avp.
  • @hotmail.com
  • @microsoft
  • @msn.com
  • local
  • noreply
  • postmaster@
  • root@

リモートアクセスコンポーネント

・W32/Bagle.c@MMは、リモート接続の有無をTCPポート2745 で聴取します。リモートサイト上のPHPスクリプトを呼んで様々なウェブサイトに接続し、ウイルス作者に感染マシンはコマンド受け入れの準備ができていることを告知します。この文章を記述している時点では、そのようなサイトは存在しませんでした。

  • http://permail.uni-muenster.de/scr.php
  • http://www.songtext.net/de/scr.php
  • http://www.sportscheck.de/scr.php

・4月14日以後、このワームのコンポーネントは無力化されます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagle.c@MMに対応しています。ダウンロードはこちら

■手動で駆除する場合の手順

  1. ・Windows9x/MEをお使いの場合
    システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)から下記のファイルを削除します。
    README.EXE
    DOC.EXE
    ONDE.EXE
    README.EXEOPEN
  3. レジストリを編集します。
    "gouday.exe"という値を以下から削除します。
    • HHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  4. 以下のキーを削除します。
    • HKEY_CURRENT_USER\Software\DateTime2