製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.h@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4331
対応定義ファイル
(現在必要とされるバージョン)
4331 (現在7495)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Beagle.h@MM (NAV): W32/Bagle-h (Sophos): W32/Bagle.h!pwdzip
情報掲載日04/03/02
発見日(米国日付)04/03/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2004年3月8日更新情報
感染が弱まってきたため、危険度を「低[要注意]」に引き下げました。

2004年3月3日更新情報
感染が広がっているため、危険度を「中」に引き上げました。


・W32/Bagle.h@MMはW32/Bagleの亜種で、W32/Bagle.f@MMと同様の機能を持ちます。このウイルスの特徴は、以下のとおりです。

・W32/Bagle.h@MMは、I1LR54N4.EXEとしてWindows Systemディレクトリに自身をコピーします。書き込まれるファイルの例:

  • C:\WINNT\SYSTEM32\i11r54n4.exe (21,318バイト)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "rate.exe" = C:\WINNT\SYSTEM32\i11r54n4.exe

・以下のレジストリキーも追加します。

  • HKEY_CURRENT_USER\Software\Winexe "open"

・また、W32/Bagle.h@MMの機能を実行するためにWindows Systemディレクトリに別のファイルを作成します。

  • go154o.exe (19,968バイト):メール送信を実行するDLL
  • i1i5n1j4.exe (1,536バイト):DLLローダ
  • i11r54n4.exeopen (20,774バイト):電子メール経由で送信されたZIPファイル

・これまでに発見された亜種と同様、W32/Bagle.h@MMはシステム日付をチェックします。システム日付が2005年3月25日以降の場合、W32/Bagle.h@MMは速やかに終了し、繁殖しません。

・W32/Bagle.h@MMは以下のようなアイコンを使用し、フォルダを装います。

・W32/Bagle.h@MMはターゲットマシンのTCPポート2745を開きます。

・ウイルス自身を「shar」という言葉のつく名前のフォルダにコピーします(KaZaa, Bearshare, Limewireのような一般的なピアツーピアアプリケーション)。マッピングされたドライブ経由では繁殖しません。

電子メールを介した繁殖

・以下のようなメッセージを作成します。

送信者:(偽造されたアドレス)
件名:

  • Weah, hello! :-)
  • Hokki =)
  • Weeeeee! ;)))
  • Hi! :-)
  • ello! =))
  • Hey, ya! =))
  • ^_^ meay-meay!
  • ^_^ mew-mew (-:
本文:
  • Hey, dude, it's me ^_^ :P
  • Argh, i don't like the plaintext :)
  • I don't bite, weah!
  • Looking forward for a response :P

・添付ファイル:パスワード保護されたZIPのアーカイブで、ZIP内のファイル名はランダムです。パスワードはメッセージ本文に含まれています。

  • archive password: %password%
  • password: %password%
  • pass: %password%
  • password - - %password %
  • %password % - - archive password
  • ... btw, %password% is a password for archive
  • password for archive %password%

・その他の詳細についてはW32/Bagle.f@MMを参照してください。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ターゲットマシンのTCPポート2745が開いています。

・上記の文字に一致するメッセージを送信します。

・上記のファイル/レジストリキーが存在します。

感染方法TOPへ戻る

電子メールを介した繁殖

・W32/Bagle.h@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先の電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

  • .adb
  • .asp
  • .cfg
  • .dbx
  • .eml
  • .htm
  • .mdx
  • .mmf
  • .nch
  • .ods
  • .php
  • .pl
  • .sht
  • .tbb
  • .txt
  • .wab
  • .xml

・収集したアドレスを差出人欄で使用して、差出人を偽装します。

・以下の文字列を含むアドレスには送信しません。

  • @avp.
  • @hotmail.com
  • @microsoft
  • @msn.com
  • local
  • noreply
  • postmaster@
  • root@

リモートアクセスコンポーネント

・W32/Bagle.h@MMは、リモート接続の有無をTCPポート2745で聴取します。さまざまなWebサイトにアクセスしたり、リモートサイトにあるPHPスクリプトを呼び出して、感染システムがコマンド受信できることを作成者に知らせます。この情報を掲載した時点では、問題のスクリプトは以下のサイトには存在しませんでした。以下のサイトに27.8時間ごとに接続されます。

  • http://postertog.de/scr.php
  • http://www.gfotxt.net/scr.php
  • http://www.maiklibis.de/scr.php

・上記のWebサイトに送られるHTTPパケットのファーマットは以下のとおりです。

  • GET /scr.php?p=2745 HTTP/1.1

ピアツーピアを介した繁殖

・ファイルは“shar”の語句を含むフォルダに作成されます。

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagle.h@MMに対応しています。ダウンロードはこちら

■手動で駆除する場合の手順

  1. システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)から下記のファイルを削除します。
    i11r54n4.exe
    go154o.exe
    i1i5n1j4.exe
    i11r54n4.exeopen
  3. レジストリを編集します。
    "rate.exe"という値を以下から削除します。
    • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

  4. W32/Bagle.h@MMのために以下のキーを削除します。
    • HKEY_CURRENT_USER\Software\Winexe

    W32/Bagle.i@MMのために以下のキーを削除します。
    • HKEY_CURRENT_USER\Software\Windor
  5. システムを再起動します。