McAfee for Small Businesses

･W32/Bagle.n@MMの特徴は以下のとおりです。

• 送信メッセージを作成するために自身のSMTPエンジンを内蔵
• ターゲットマシンから電子メールアドレスを収集
• 電子メールメッセージの送信者アドレスを偽造
• 添付ファイルはパスワード保護されたzipまたはrarファイルで、メッセージ本文またはメッセージに添付されている画像ファイルにパスワードが含まれている
• リモートアクセスコンポーネントを持つ（ハッカーに通知を送信）
• KaZaa、Bearshare、Limewireなどの一般的なピアツーピアアプリケーションのような、名前に“shar”の語句を含むフォルダに自身をコピー
• 暗号化されたポリモルフィックかつパラサイト的なファイル感染ウイルス

電子メールを介した繁殖

･作成されるメッセージの本文は、これまでに発見された亜種と、非常に類似しています。効果的にメールをカスタマイズしたり、正式な警告メッセージに見せかけるために、いくつかのパートに分かれています。詳細は以下のとおり。

送信者：（メールアドレスは、以下のリスト、またはローカルシステムで発見された別のメールアドレスから取り出された受信者のドメイン名やユーザ名を利用して偽装されている可能性があります。）

• management@
• administration@
• staff@
• noreply@
• support@
• ローカルシステムで発見された別のメールアドレス

件名：

• Account notify
• E-mail account disabling warning.
• E-mail account security warning.
• Email account utilization warning.
• Email report
• E-mail technical support message.
• E-mail technical support warning.
• E-mail warning
• Encrypted document
• Fax Message Received
• Forum notify
• Hidden message
• Important notify
• Important notify about your e-mail account.
• Incoming message
• Notify about using the e-mail account.
• Notify about your e-mail account utilization.
• Notify from e-mail technical support.
• Protected message
• Re: Document
• Re: Hello
• Re: Hi
• Re: Incoming Fax
• Re: Incoming Message
• Re: Msg reply
• RE: Protected message
• RE: Text message
• Re: Thank you!
• Re: Thanks :)
• Re: Yahoo!
• Request response
• Site changes
• Warning about your e-mail account.

本文テキスト

挨拶文

• Dear user of %s ,
• Dear user of %s e-mail server gateway,
• Hello user of %s e-mail server,
• Dear user, the management of %s mailing system wants to let you know that,

メッセージ本文

• Your e-mail account has been temporary disabled because of unauthorized access.
• Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
• Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
• We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
• Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
• Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

添付ファイル説明文-

• Advanced details can be found in attached file.
• Find the white rabbit.
• Follow the wabbit.
• For details see the attach.
• For details see the attached file.
• For further details see the attach.
• For more information see the attached file.
• Further details can be obtained from attached file.
• Here is the file.
• Message is in attach
• More info in attach
• Pay attention on attached file.
• Please, have a look at the attached file.
• Please, read the attach for further details.
• Read the attach.
• See attach.
• See the attached file for details.
• Your file is attached.

パスワード情報-（ZIPファイルとして受信した場合）

• Password: %password%
• Pass - %password%
• Password - %password%
• For security reasons attached file is password protected. The password is (添付画像挿入)
• For security purposes the attached file is password protected. Password -- (添付画像挿入)
• Note: Use password (添付画像挿入) to open archive
• Attached file is protected with the password for security reasons. Password is (添付画像挿入)
• In order to read the attach you have to use the following password: (添付画像挿入)
• Archive password: (添付画像挿入)
• Password - (添付画像挿入)
• Password: (添付画像挿入)

結びの言葉-

• The Management,
• Sincerely,
• Best wishes,
• Have a good day,
• Cheers,
• Kind regards,

The (ユーザドメイン) team http://www.(ユーザドメイン)

･結びの言葉の最初の部分はリストから選択され、2番目の結びの言葉は常に記載された状態です。

添付ファイル（.EXE、.PIF、.ZIP、.RAR）

• Attach
• Details
• details
• Document
• Encrypted
• first_part
• Gift
• Info
• Information
• Message
• MoreInfo
• pub_document
• Readme
• Text
• text_document
• TextDocument
• （また、ウイルスは画像ファイル(.BMP, .JPG, .GIF)を、ウイルス内のパスワードで保護されたZIPファイル用のパスワードを含んだメッセージに添付します。）

・W32/Bagle.n@MMは以下のように、Windows SystemディレクトリにWINSYS.EXE.としてに自身をコピーします。

• C:\WINNT\SYSTEM32\WINUPD.EXE

・また、WINUPD.EXEOPENファイルとWINUPD.EXEOPENOPEN 作成します。この２つのファイルは別のウイルス自身のコピー、または電子メールでウイルス自身を送信するためのZIPファイルです。また、イメージとしてパスワードをもった画像ファイル、WINUPD.EXEOPENOPENOPENを作成します。

･以下のレジストリキーを追加して、システムの起動をフックします。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "winupd.exe" = C:\WINNT\SYSTEM32\winupd.exe

･同様に追加のキーが作成されます。

• HKEY_CURRENT_USER\Software\winupd

･以下のアイコンを使用して、true-typeフォントを装います。

･以下のファイル名を持つセキュリティプログラムのプロセスを強制終了させようとします。

• AGENTSVR.EXE
• ANTI-TROJAN.EXE
• ANTI-TROJAN.EXE
• ANTIVIRUS.EXE
• ANTS.EXE
• APIMONITOR.EXE
• APLICA32.EXE
• APVXDWIN.EXE
• ATCON.EXE
• ATGUARD.EXE
• ATRO55EN.EXE
• ATUPDATER.EXE
• ATWATCH.EXE
• au.exe
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVCONSOL.EXE
• AVGSERV9.EXE
• AVLTMAIN.EXE
• AVprotect9x.exe
• AVPUPD.EXE
• AVSYNMGR.EXE
• AVWUPD32.EXE
• AVXQUAR.EXE
• BD_PROFESSIONAL.EXE
• BIDEF.EXE
• BIDSERVER.EXE
• BIPCP.EXE
• BIPCPEVALSETUP.EXE
• BISP.EXE
• BLACKD.EXE
• BLACKICE.EXE
• BOOTWARN.EXE
• BORG2.EXE
• BS120.EXE
• CDP.EXE
• CFGWIZ.EXE
• CFGWIZ.EXE
• CFIADMIN.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFIAUDIT.EXE
• CFIAUDIT.EXE
• CFINET.EXE
• CFINET.EXE
• CFINET32.EXE
• CFINET32.EXE
• CLEAN.EXE
• CLEAN.EXE
• CLEANER.EXE
• CLEANER.EXE
• CLEANER3.EXE
• CLEANER3.EXE
• CLEANPC.EXE
• CLEANPC.EXE
• CMGRDIAN.EXE
• CMGRDIAN.EXE
• CMON016.EXE
• CMON016.EXE
• CPD.EXE
• CPF9X206.EXE
• CPFNT206.EXE
• CV.EXE
• CWNB181.EXE
• CWNTDWMO.EXE
• d3dupdate.exe
• DEFWATCH.EXE
• DEPUTY.EXE
• DPF.EXE
• DPFSETUP.EXE
• DRWATSON.EXE
• DRWEBUPW.EXE
• ENT.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• ESCANV95.EXE
• EXANTIVIRUS-CNET.EXE
• FAST.EXE
• FIREWALL.EXE
• FLOWPROTECTOR.EXE
• FP-WIN_TRIAL.EXE
• FRW.EXE
• FSAV.EXE
• FSAV530STBYB.EXE
• FSAV530WTBYB.EXE
• FSAV95.EXE
• GBMENU.EXE
• GBPOLL.EXE
• GUARD.EXE
• GUARDDOG.EXE
• HACKTRACERSETUP.EXE
• HTLOG.EXE
• HWPE.EXE
• IAMAPP.EXE
• IAMAPP.EXE
• IAMSERV.EXE
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMON.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IFW2000.EXE
• IPARMOR.EXE
• IRIS.EXE
• JAMMER.EXE
• KAVLITE40ENG.EXE
• KAVPERS40ENG.EXE
• KERIO-PF-213-EN-WIN.EXE
• KERIO-WRL-421-EN-WIN.EXE
• KERIO-WRP-421-EN-WIN.EXE
• KILLPROCESSSETUP161.EXE
• LDPRO.EXE
• LOCALNET.EXE
• LOCKDOWN.EXE
• LOCKDOWN2000.EXE
• LSETUP.EXE
• LUALL.EXE
• LUCOMSERVER.EXE
• LUINIT.EXE
• MCAGENT.EXE
• MCUPDATE.EXE
• MCUPDATE.EXE
• MFW2EN.EXE
• MFWENG3.02D30.EXE
• MGUI.EXE
• MINILOG.EXE
• MOOLIVE.EXE
• MRFLUX.EXE
• MSCONFIG.EXE
• MSINFO32.EXE
• MSSMMC32.EXE
• MU0311AD.EXE
• NAV80TRY.EXE
• NAVAPW32.EXE
• NAVDX.EXE
• NAVSTUB.EXE
• NAVW32.EXE
• NC2000.EXE
• NCINST4.EXE
• NDD32.EXE
• NEOMONITOR.EXE
• NETARMOR.EXE
• NETINFO.EXE
• NETMON.EXE
• NETSCANPRO.EXE
• NETSPYHUNTER-1.2.EXE
• NETSTAT.EXE
• NISSERV.EXE
• NISUM.EXE
• NMAIN.EXE
• NORTON_INTERNET_SECU_3.0_407.EXE
• NPF40_TW_98_NT_ME_2K.EXE
• NPFMESSENGER.EXE
• NPROTECT.EXE
• NSCHED32.EXE
• NTVDM.EXE
• NUPGRADE.EXE
• NVARCH16.EXE
• NWINST4.EXE
• NWTOOL16.EXE
• OSTRONET.EXE
• OUTPOST.EXE
• OUTPOSTINSTALL.EXE
• OUTPOSTPROINSTALL.EXE
• PADMIN.EXE
• PANIXK.EXE
• PAVPROXY.EXE
• PCC2002S902.EXE
• PCC2K_76_1436.EXE
• PCCIOMON.EXE
• PCDSETUP.EXE
• PCFWALLICON.EXE
• PCFWALLICON.EXE
• PCIP10117_0.EXE
• PDSETUP.EXE
• PERISCOPE.EXE
• PERSFW.EXE
• PF2.EXE
• PFWADMIN.EXE
• PINGSCAN.EXE
• PLATIN.EXE
• POPROXY.EXE
• POPSCAN.EXE
• PORTDETECTIVE.EXE
• PPINUPDT.EXE
• PPTBC.EXE
• PPVSTOP.EXE
• PROCEXPLORERV1.0.EXE
• PROPORT.EXE
• PROTECTX.EXE
• PSPF.EXE
• PURGE.EXE
• PVIEW95.EXE
• QCONSOLE.EXE
• QSERVER.EXE
• RAV8WIN32ENG.EXE
• REGEDIT.EXE
• REGEDT32.EXE
• RESCUE.EXE
• RESCUE32.EXE
• RRGUARD.EXE
• RSHELL.EXE
• RTVSCN95.EXE
• RULAUNCH.EXE
• SAFEWEB.EXE
• SBSERV.EXE
• SD.EXE
• SETUP_FLOWPROTECTOR_US.EXE
• SETUPVAMEEVAL.EXE
• SFC.EXE
• SGSSFW32.EXE
• SH.EXE
• SHELLSPYINSTALL.EXE
• SHN.EXE
• SMC.EXE
• SOFI.EXE
• SPF.EXE
• SPHINX.EXE
• SPYXX.EXE
• SS3EDIT.EXE
• ST2.EXE
• SUPFTRL.EXE
• SUPPORTER5.EXE
• SYMPROXYSVC.EXE
• SYSEDIT.EXE
• TASKMON.EXE
• TAUMON.EXE
• TAUSCAN.EXE
• TC.EXE
• TCA.EXE
• TCM.EXE
• TDS2-98.EXE
• TDS2-NT.EXE
• TDS-3.EXE
• TFAK5.EXE
• TGBOB.EXE
• TITANIN.EXE
• TITANINXP.EXE
• TRACERT.EXE
• TRJSCAN.EXE
• TRJSETUP.EXE
• TROJANTRAP3.EXE
• UNDOBOOT.EXE
• UPDATE.EXE
• VBCMSERV.EXE
• VBCONS.EXE
• VBUST.EXE
• VBWIN9X.EXE
• VBWINNTW.EXE
• VCSETUP.EXE
• VFSETUP.EXE
• VIRUSMDPERSONALFIREWALL.EXE
• VNLAN300.EXE
• VNPC3000.EXE
• VPC42.EXE
• VPFW30S.EXE
• VPTRAY.EXE
• VSCENU6.02D30.EXE
• VSECOMR.EXE
• VSHWIN32.EXE
• VSISETUP.EXE
• VSMAIN.EXE
• VSMON.EXE
• VSSTAT.EXE
• VSWIN9XE.EXE
• VSWINNTSE.EXE
• VSWINPERSE.EXE
• W32DSM89.EXE
• W9X.EXE
• WATCHDOG.EXE
• WEBSCANX.EXE
• WGFE95.EXE
• WHOSWATCHINGME.EXE
• WHOSWATCHINGME.EXE
• WINRECON.EXE
• WNT.EXE
• WRADMIN.EXE
• WRCTRL.EXE
• WSBGATE.EXE
• WYVERNWORKSFIREWALL.EXE
• XPF202EN.EXE
• ZAPRO.EXE
• ZAPSETUP3001.EXE
• ZATUTOR.EXE
• ZAUINST.EXE
• ZONALM2601.EXE
• ZONEALARM.EXE

･感染マシン上のTCPポート2556を開きます。

･2005年12月31日以降に、ウイルスは自身のレジストリランキーを削除して自ら無力化します。