製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.n@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4337
対応定義ファイル
(現在必要とされるバージョン)
4373 (現在7509)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名PE_BAGLE.N-O (Trend)
W32.Beagle.M@mm (Symantec)
W32/Bagle.n!pwdrar (McAfee)
W32/Bagle.n!pwdzip (McAfee)
W32/Bagle.P@mm (F-Secure)
情報掲載日04/03/14
発見日(米国日付)04/03/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/23RDN/Generic....
07/23RDN/Generic....
07/23FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7509
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bagle.n@MMの特徴は以下のとおりです。

  • 送信メッセージを作成するために自身のSMTPエンジンを内蔵
  • ターゲットマシンから電子メールアドレスを収集
  • 電子メールメッセージの送信者アドレスを偽造
  • 添付ファイルはパスワード保護されたzipまたはrarファイルで、メッセージ本文またはメッセージに添付されている画像ファイルにパスワードが含まれている
  • リモートアクセスコンポーネントを持つ(ハッカーに通知を送信)
  • KaZaa、Bearshare、Limewireなどの一般的なピアツーピアアプリケーションのような、名前に“shar”の語句を含むフォルダに自身をコピー
  • 暗号化されたポリモルフィックかつパラサイト的なファイル感染ウイルス

電子メールを介した繁殖

・作成されるメッセージの本文は、これまでに発見された亜種と、非常に類似しています。効果的にメールをカスタマイズしたり、正式な警告メッセージに見せかけるために、いくつかのパートに分かれています。詳細は以下のとおり。

送信者:(メールアドレスは、以下のリスト、またはローカルシステムで発見された別のメールアドレスから取り出された受信者のドメイン名やユーザ名を利用して偽装されている可能性があります。)

  • management@
  • administration@
  • staff@
  • noreply@
  • support@
  • ローカルシステムで発見された別のメールアドレス

件名:

  • Account notify
  • E-mail account disabling warning.
  • E-mail account security warning.
  • Email account utilization warning.
  • Email report
  • E-mail technical support message.
  • E-mail technical support warning.
  • E-mail warning
  • Encrypted document
  • Fax Message Received
  • Forum notify
  • Hidden message
  • Important notify
  • Important notify about your e-mail account.
  • Incoming message
  • Notify about using the e-mail account.
  • Notify about your e-mail account utilization.
  • Notify from e-mail technical support.
  • Protected message
  • Re: Document
  • Re: Hello
  • Re: Hi
  • Re: Incoming Fax
  • Re: Incoming Message
  • Re: Msg reply
  • RE: Protected message
  • RE: Text message
  • Re: Thank you!
  • Re: Thanks :)
  • Re: Yahoo!
  • Request response
  • Site changes
  • Warning about your e-mail account.

本文テキスト

挨拶文

  • Dear user of %s ,
  • Dear user of %s e-mail server gateway,
  • Hello user of %s e-mail server,
  • Dear user, the management of %s mailing system wants to let you know that,

メッセージ本文

  • Your e-mail account has been temporary disabled because of unauthorized access.
  • Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
  • Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
  • We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
  • Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
  • Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

添付ファイル説明文-

  • Advanced details can be found in attached file.
  • Find the white rabbit.
  • Follow the wabbit.
  • For details see the attach.
  • For details see the attached file.
  • For further details see the attach.
  • For more information see the attached file.
  • Further details can be obtained from attached file.
  • Here is the file.
  • Message is in attach
  • More info in attach
  • Pay attention on attached file.
  • Please, have a look at the attached file.
  • Please, read the attach for further details.
  • Read the attach.
  • See attach.
  • See the attached file for details.
  • Your file is attached.

パスワード情報-(ZIPファイルとして受信した場合)

  • Password: %password%
  • Pass - %password%
  • Password - %password%
  • For security reasons attached file is password protected. The password is (添付画像挿入)
  • For security purposes the attached file is password protected. Password -- (添付画像挿入)
  • Note: Use password (添付画像挿入) to open archive
  • Attached file is protected with the password for security reasons. Password is (添付画像挿入)
  • In order to read the attach you have to use the following password: (添付画像挿入)
  • Archive password: (添付画像挿入)
  • Password - (添付画像挿入)
  • Password: (添付画像挿入)

結びの言葉-

  • The Management,
  • Sincerely,
  • Best wishes,
  • Have a good day,
  • Cheers,
  • Kind regards,

The (ユーザドメイン) team http://www.(ユーザドメイン)

・結びの言葉の最初の部分はリストから選択され、2番目の結びの言葉は常に記載された状態です。

添付ファイル(.EXE、.PIF、.ZIP、.RAR)

  • Attach
  • Details
  • details
  • Document
  • Encrypted
  • first_part
  • Gift
  • Info
  • Information
  • Message
  • MoreInfo
  • pub_document
  • Readme
  • Text
  • text_document
  • TextDocument
  • (また、ウイルスは画像ファイル(.BMP, .JPG, .GIF)を、ウイルス内のパスワードで保護されたZIPファイル用のパスワードを含んだメッセージに添付します。)

・W32/Bagle.n@MMは以下のように、Windows SystemディレクトリにWINSYS.EXE.としてに自身をコピーします。

  • C:\WINNT\SYSTEM32\WINUPD.EXE

・また、WINUPD.EXEOPENファイルとWINUPD.EXEOPENOPEN 作成します。この2つのファイルは別のウイルス自身のコピー、または電子メールでウイルス自身を送信するためのZIPファイルです。また、イメージとしてパスワードをもった画像ファイル、WINUPD.EXEOPENOPENOPENを作成します。

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "winupd.exe" = C:\WINNT\SYSTEM32\winupd.exe

・同様に追加のキーが作成されます。

  • HKEY_CURRENT_USER\Software\winupd

・以下のアイコンを使用して、true-typeフォントを装います。

・以下のファイル名を持つセキュリティプログラムのプロセスを強制終了させようとします。

  • AGENTSVR.EXE
  • ANTI-TROJAN.EXE
  • ANTI-TROJAN.EXE
  • ANTIVIRUS.EXE
  • ANTS.EXE
  • APIMONITOR.EXE
  • APLICA32.EXE
  • APVXDWIN.EXE
  • ATCON.EXE
  • ATGUARD.EXE
  • ATRO55EN.EXE
  • ATUPDATER.EXE
  • ATWATCH.EXE
  • au.exe
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVCONSOL.EXE
  • AVGSERV9.EXE
  • AVLTMAIN.EXE
  • AVprotect9x.exe
  • AVPUPD.EXE
  • AVSYNMGR.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • BD_PROFESSIONAL.EXE
  • BIDEF.EXE
  • BIDSERVER.EXE
  • BIPCP.EXE
  • BIPCPEVALSETUP.EXE
  • BISP.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • BOOTWARN.EXE
  • BORG2.EXE
  • BS120.EXE
  • CDP.EXE
  • CFGWIZ.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFIAUDIT.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CFINET32.EXE
  • CLEAN.EXE
  • CLEAN.EXE
  • CLEANER.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • CLEANER3.EXE
  • CLEANPC.EXE
  • CLEANPC.EXE
  • CMGRDIAN.EXE
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CMON016.EXE
  • CPD.EXE
  • CPF9X206.EXE
  • CPFNT206.EXE
  • CV.EXE
  • CWNB181.EXE
  • CWNTDWMO.EXE
  • d3dupdate.exe
  • DEFWATCH.EXE
  • DEPUTY.EXE
  • DPF.EXE
  • DPFSETUP.EXE
  • DRWATSON.EXE
  • DRWEBUPW.EXE
  • ENT.EXE
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • ESCANV95.EXE
  • EXANTIVIRUS-CNET.EXE
  • FAST.EXE
  • FIREWALL.EXE
  • FLOWPROTECTOR.EXE
  • FP-WIN_TRIAL.EXE
  • FRW.EXE
  • FSAV.EXE
  • FSAV530STBYB.EXE
  • FSAV530WTBYB.EXE
  • FSAV95.EXE
  • GBMENU.EXE
  • GBPOLL.EXE
  • GUARD.EXE
  • GUARDDOG.EXE
  • HACKTRACERSETUP.EXE
  • HTLOG.EXE
  • HWPE.EXE
  • IAMAPP.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFW2000.EXE
  • IPARMOR.EXE
  • IRIS.EXE
  • JAMMER.EXE
  • KAVLITE40ENG.EXE
  • KAVPERS40ENG.EXE
  • KERIO-PF-213-EN-WIN.EXE
  • KERIO-WRL-421-EN-WIN.EXE
  • KERIO-WRP-421-EN-WIN.EXE
  • KILLPROCESSSETUP161.EXE
  • LDPRO.EXE
  • LOCALNET.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • LSETUP.EXE
  • LUALL.EXE
  • LUCOMSERVER.EXE
  • LUINIT.EXE
  • MCAGENT.EXE
  • MCUPDATE.EXE
  • MCUPDATE.EXE
  • MFW2EN.EXE
  • MFWENG3.02D30.EXE
  • MGUI.EXE
  • MINILOG.EXE
  • MOOLIVE.EXE
  • MRFLUX.EXE
  • MSCONFIG.EXE
  • MSINFO32.EXE
  • MSSMMC32.EXE
  • MU0311AD.EXE
  • NAV80TRY.EXE
  • NAVAPW32.EXE
  • NAVDX.EXE
  • NAVSTUB.EXE
  • NAVW32.EXE
  • NC2000.EXE
  • NCINST4.EXE
  • NDD32.EXE
  • NEOMONITOR.EXE
  • NETARMOR.EXE
  • NETINFO.EXE
  • NETMON.EXE
  • NETSCANPRO.EXE
  • NETSPYHUNTER-1.2.EXE
  • NETSTAT.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORTON_INTERNET_SECU_3.0_407.EXE
  • NPF40_TW_98_NT_ME_2K.EXE
  • NPFMESSENGER.EXE
  • NPROTECT.EXE
  • NSCHED32.EXE
  • NTVDM.EXE
  • NUPGRADE.EXE
  • NVARCH16.EXE
  • NWINST4.EXE
  • NWTOOL16.EXE
  • OSTRONET.EXE
  • OUTPOST.EXE
  • OUTPOSTINSTALL.EXE
  • OUTPOSTPROINSTALL.EXE
  • PADMIN.EXE
  • PANIXK.EXE
  • PAVPROXY.EXE
  • PCC2002S902.EXE
  • PCC2K_76_1436.EXE
  • PCCIOMON.EXE
  • PCDSETUP.EXE
  • PCFWALLICON.EXE
  • PCFWALLICON.EXE
  • PCIP10117_0.EXE
  • PDSETUP.EXE
  • PERISCOPE.EXE
  • PERSFW.EXE
  • PF2.EXE
  • PFWADMIN.EXE
  • PINGSCAN.EXE
  • PLATIN.EXE
  • POPROXY.EXE
  • POPSCAN.EXE
  • PORTDETECTIVE.EXE
  • PPINUPDT.EXE
  • PPTBC.EXE
  • PPVSTOP.EXE
  • PROCEXPLORERV1.0.EXE
  • PROPORT.EXE
  • PROTECTX.EXE
  • PSPF.EXE
  • PURGE.EXE
  • PVIEW95.EXE
  • QCONSOLE.EXE
  • QSERVER.EXE
  • RAV8WIN32ENG.EXE
  • REGEDIT.EXE
  • REGEDT32.EXE
  • RESCUE.EXE
  • RESCUE32.EXE
  • RRGUARD.EXE
  • RSHELL.EXE
  • RTVSCN95.EXE
  • RULAUNCH.EXE
  • SAFEWEB.EXE
  • SBSERV.EXE
  • SD.EXE
  • SETUP_FLOWPROTECTOR_US.EXE
  • SETUPVAMEEVAL.EXE
  • SFC.EXE
  • SGSSFW32.EXE
  • SH.EXE
  • SHELLSPYINSTALL.EXE
  • SHN.EXE
  • SMC.EXE
  • SOFI.EXE
  • SPF.EXE
  • SPHINX.EXE
  • SPYXX.EXE
  • SS3EDIT.EXE
  • ST2.EXE
  • SUPFTRL.EXE
  • SUPPORTER5.EXE
  • SYMPROXYSVC.EXE
  • SYSEDIT.EXE
  • TASKMON.EXE
  • TAUMON.EXE
  • TAUSCAN.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • TDS-3.EXE
  • TFAK5.EXE
  • TGBOB.EXE
  • TITANIN.EXE
  • TITANINXP.EXE
  • TRACERT.EXE
  • TRJSCAN.EXE
  • TRJSETUP.EXE
  • TROJANTRAP3.EXE
  • UNDOBOOT.EXE
  • UPDATE.EXE
  • VBCMSERV.EXE
  • VBCONS.EXE
  • VBUST.EXE
  • VBWIN9X.EXE
  • VBWINNTW.EXE
  • VCSETUP.EXE
  • VFSETUP.EXE
  • VIRUSMDPERSONALFIREWALL.EXE
  • VNLAN300.EXE
  • VNPC3000.EXE
  • VPC42.EXE
  • VPFW30S.EXE
  • VPTRAY.EXE
  • VSCENU6.02D30.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSISETUP.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • VSWIN9XE.EXE
  • VSWINNTSE.EXE
  • VSWINPERSE.EXE
  • W32DSM89.EXE
  • W9X.EXE
  • WATCHDOG.EXE
  • WEBSCANX.EXE
  • WGFE95.EXE
  • WHOSWATCHINGME.EXE
  • WHOSWATCHINGME.EXE
  • WINRECON.EXE
  • WNT.EXE
  • WRADMIN.EXE
  • WRCTRL.EXE
  • WSBGATE.EXE
  • WYVERNWORKSFIREWALL.EXE
  • XPF202EN.EXE
  • ZAPRO.EXE
  • ZAPSETUP3001.EXE
  • ZATUTOR.EXE
  • ZAUINST.EXE
  • ZONALM2601.EXE
  • ZONEALARM.EXE

・感染マシン上のTCPポート2556を開きます。

・2005年12月31日以降に、ウイルスは自身のレジストリランキーを削除して自ら無力化します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・送信メールが上記の特徴に一致しています。
・上記のファイル/レジストリキーが存在します。
・.EXEファイルのファイルサイズが約21kbほど大きくなっている。
・システムがTCPポート2556を聴取している

感染方法TOPへ戻る

メールを介した繁殖

・W32/Bagle.n@MMは自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先の電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

  • .adb
  • . .asp
  • . .cfg
  • . .cgi
  • . .dbx
  • . .dhtm
  • . .eml
  • . .htm
  • . .jsp
  • . .mbx
  • . .mdx
  • . .mht
  • . .mmf
  • . .msg
  • . .nch
  • . .ods
  • . .oft
  • . .php
  • . .pl
  • . .sht
  • . .shtm
  • . .stm
  • . .tbb
  • . .txt
  • . .uin
  • . .wab
  • . .wsh
  • . .xls
  • . .xml

・収集したアドレスを差出人欄で使用して、差出人を偽装します。

・以下の文字列を含むアドレスには送信しません。

  • @avp.
  • @foo
  • @hotmail.com
  • @iana
  • @messagelab
  • @microsoft
  • @msn
  • abuse
  • admin
  • anyone@
  • bsd
  • bugs@
  • cafee
  • certific
  • contract@
  • feste
  • free-av
  • f-secur
  • gold-certs@
  • google help@
  • icrosoft
  • info@
  • kasp
  • linux
  • listserv
  • local
  • nobody@
  • noone@
  • noreply
  • ntivi
  • panda
  • pgp
  • postmaster@
  • rating@
  • root@
  • samples
  • sopho
  • spam
  • support
  • unix
  • winrar
  • winzip

ピアツーピアを介した繁殖

・ファイルは“shar”の語句を含むフォルダに作成されます。

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

リモートアクセスコンポーネント

・リモート接続用のTCPポート2556を聴取します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagle.n@MMに対応しています。ダウンロードはこちら

■McAfee Desktop Firewall
McAfee Desktop Firewallユーザは受信TCPポート2556をブロックすることで不正なリモートアクセスを防げます。