製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.j@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4332
対応定義ファイル
(現在必要とされるバージョン)
4373 (現在7495)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Bagle.J (F-Secure)
W32.Beagle.J@mm (NAV)
WORM_BAGLE.J (Trend)
情報掲載日04/03/03
発見日(米国日付)04/03/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--3月13日更新情報--

感染が弱まってきたため、危険度を"中"から"低[要注意]"に引き下げました。

--3月2日更新情報--

感染が拡大しているため、危険度を"中"に引き上げました。


・W32/Bagle.j@MMは大量メール送信型ワームで、以下のような特徴があります。

  • 送信メッセージを作成するために自身のSMTPエンジンを内蔵
  • ターゲットマシンから電子メールアドレスを収集
  • 電子メールメッセージの送信者アドレスを偽造
  • 添付ファイルはパスワード保護されたzipファイルで、パスワードはメッセージ本文に含まれている
  • リモートアクセスコンポーネントを持つ(ハッカーに通知を送信)
  • KaZaa、Bearshare、Limewireなどの一般的なピアツーピアアプリケーションのような、名前に“shar”の語句を含むフォルダに自身をコピー

メール繁殖
・メッセージの本文は、効果的にメールをカスタマイズしたり、正式な警告メッセージに見せかけるために、いくつかのパートに分かれています。詳細は以下のとおり。

送信者:(偽造された送信者)
件名:

  • E-mail account security warning.
  • Notify about using the e-mail account.
  • Warning about your e-mail account.
  • Important notify about your e-mail account.
  • Email account utilization warning.
  • Notify about your e-mail account utilization.
  • E-mail account disabling warning.

本文:

あいさつの言葉

  • Dear user of (ユーザドメイン) , Dear user of (ユーザドメイン) gateway e-mail server,
  • Dear user of e-mail server "(ユーザドメイン) ",
  • Hello user of (ユーザドメイン) e-mail server,
  • Dear user of "(ユーザドメイン) " mailing system,
  • Dear user, the management of (ユーザドメイン) mailing system wants to let you know that,

”ユーザドメイン”は、「宛先」から選択されます。(例:”ユーザドメイン”がuser@mail.com の場合はmail.com)

メッセージ本文
  • Your e-mail account has been temporary disabled because of unauthorized access.
  • Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
  • Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
  • We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
  • Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
  • Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
添付ファイル説明文
  • For more information see the attached file.
  • Further details can be obtained from attached file.
  • Advanced details can be found in attached file.
  • For details see the attach.
  • For details see the attached file.
  • For further details see the attach.
  • Please, read the attach for further details.
  • Pay attention on attached file.
パスワード情報(ZIPファイルとして受信した場合)
  • For security reasons attached file is password protected. The password is "(five random numbers) ".
  • For security purposes the attached file is password protected. Password is "(five random numbers) ".
  • Attached file protected with the password for security reasons. Password is (five random numbers) .
  • In order to read the attach you have to use the following password: (five random numbers) .
結びの言葉
  • The Management,
  • Sincerely,
  • Best wishes,
  • Have a good day,
  • Cheers,
  • Kind regards,
The (ユーザドメイン) team http://www.(ユーザドメイン)

結びの言葉の最初の部分はリストから選択され、2番目の結びの言葉は常に記載された状態ででてきます。

添付ファイル(.EXE、.PIF、.ZIP)

  • Attach
  • Information
  • Readme
  • Document
  • Info
  • TextDocument
  • TextFile
  • MoreInfo
  • Message

・ウイルスは以下のようにIRUN4.EXEとしてウイルス自身をウィンドウズシステムディレクトリにコピーします。

・C:\WINNT\SYSTEM32\IRUN4.EXE

・また、IRUN4.EXEOPEN ファイルを作成し、別のウイルス自身のコピーまたはメール内にZIPファイル(〜13KB)を送信します。

・システムスタートアップをフックするために以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "ssate.exe" = C:\WINNT\SYSTEM32\irun4.exe

・これまでに発見された亜種と同様に、システム日付をチェックします。システム日付が2005年4月25日以降の場合、W32/Bagle.j@MMは速やかに終了し、繁殖しません。

・以下のアイコンを使用して、ワードパッド文書を装います。

・以下のファイル名を持つセキュリティプログラムのプロセスを強制終了させようとします。

  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

・ウイルスは感染マシンのTCPポート2745を開きます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・ターゲットマシンのTCPポート2745が開いています。

・上記の特徴に合致する送信メッセージが存在する。

・上記のファイル/レジストリキーが存在します。

感染方法TOPへ戻る

電子メールを介した繁殖

・W32/Bagle.j@MMは自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先のの電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

  • .ADB
  • .ASP
  • .CFG
  • .CGI
  • .DBX
  • .EML
  • .HTM
  • .MDX
  • .MMF
  • .MSG
  • .NCH
  • .ODS
  • .PHP
  • .PL
  • .SHT
  • .TBB
  • .TXT
  • .UIN
  • .WAB
  • .XML

・収集したアドレスを差出人欄で使用して、差出人を偽装します。

・以下の文字列を含むアドレスには送信しません。

  • @hotmail.com
  • @msn.com
  • @microsoft
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@

ピアツーピアを介した繁殖

・ファイルは“shar”の語句を含むフォルダに作成されます。

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

リモートアクセスコンポーネント

・W32/Bagle.f@MMは、リモート接続の有無をTCPポート2745で聴取します。さまざまなWebサイトにアクセスしたり、リモートサイトにあるPHPスクリプトを呼び出して、感染システムがコマンド受信できることを作成者に知らせます。この情報を掲載した時点では、問題のスクリプトは以下のサイトには存在しませんでした。

  • http://postertog.de/scr.php
  • http://www.gfotxt.net/scr.php
  • http://www.maiklibis.de/scr.php

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagle.j@MMに対応しています。ダウンロードはこちら

■手動で駆除する場合の手順

  1. システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  2. WINDOWS SYSTEMディレクトリ(c:\windows\system32かc:\winnt\system32の場合が多いです。)から下記のファイルを削除します。
    IRUN4.EXE
    IRUN4.EXEOPEN
  3. レジストリを編集します。
    "ssate.exe"という値を以下から削除します。
    • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
  4. システムを再起動します。