製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.p@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4338
対応定義ファイル
(現在必要とされるバージョン)
4373 (現在7563)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名PE_BAGLE.P (Trend): W32.Beagle.N@mm (NAV): W32/Bagle-O (Sophos): W32/Bagle.p (parasitically infected files)
情報掲載日04/03/16
発見日(米国日付)04/03/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/15W32/Sdbot.wo...
09/15W32/Virus.ge...
09/15FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7563
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2004年3月15日更新情報--

・感染が拡大しているため危険度を「中」に引き上げました。

--2004年3月15日更新情報--

メディアの注目を集めたため、危険度を「低[要注意]」に引き上げました。


W32/Bagle.p@MMの特徴は以下の通りです。

  • 送信メッセージを作成するために自身のSMTPエンジンを内蔵
  • ターゲットマシンから電子メールアドレスを収集
  • 電子メールメッセージの送信者アドレスを偽装
  • リモートアクセスコンポーネントを持つ(ハッカーに通知を送信)
  • KaZaa、Bearshare、Limewireなどの一般的なピアツーピアアプリケーションのような、名前に“shar”の語句を含むフォルダに自身をコピー
  • 暗号化されたポリモルフィックかつパラサイト的なファイル感染ウイルス

ウイルスの検知/駆除

・W32/Bagle.p@MMは、定義ファイル4335またはそれ以降でヒューリスティックを有効にしてスキャンすると、New Malware.bのトロイの木馬または亜種として検出されます。

・パラサイト的な感染ファイルは、定義ファイル4337またはそれ以降で、W32/Bagle.nのトロイの木馬または亜種として、検出されます。

電子メールを介した繁殖

・作成されるメッセージの本文は、これまでに発見された亜種と、非常に類似しています。効果的にメールをカスタマイズしたり、正式な警告メッセージに見せかけるために、いくつかのパートに分かれています。詳細は以下の通りです。

差出人: (メールアドレスは、以下のリスト、またはローカルシステムで発見された別のメールアドレスから取り出された受信者のドメイン名やユーザ名を利用して偽装されている可能性があります。)

  • management@
  • administration@
  • staff@
  • noreply@
  • support@
  • antivirus@
  • antispam@

件名:

  • Password: %s
  • Pass - %s
  • Password - %s
  • E-mail account security warning.
  • Notify about using the e-mail account.
  • Warning about your e-mail account.
  • Important notify about your e-mail account.
  • Email account utilization warning.
  • E-mail technical support message.
  • E-mail technical support warning.
  • Email report
  • Important notify
  • Account notify
  • E-mail warning
  • Notify from e-mail technical support.
  • Notify about your e-mail account utilization.
  • E-mail account disabling warning.
  • Re: Msg reply
  • Re: Hello
  • Re: Yahoo!
  • Re: Thank you!
  • Re: Thanks :)
  • RE: Text message
  • Re: Document
  • Incoming message
  • Re: Incoming Message
  • Re: Incoming Fax
  • Hidden message
  • Fax Message Received
  • Protected message
  • RE: Protected message
  • Forum notify
  • Request response
  • Site changes
  • Re: Hi
  • Encrypted document
  • Body text:

あいさつ文 -

  • Dear user of %s ,
  • Dear user of %s e-mail server gateway,
  • Dear user of "%s " mailing server,
  • Dear user of "%s " mailing domain,
  • Dear user of "%s " domain,
  • Dear user of e-mail server "%s ",
  • Hello user of %s e-mail server,
  • Dear user of "%s " mailing system,
  • Dear user, the management of %s

(%sは、「宛先」から選択された”ユーザドメイン”です。(例:“ユーザドメイン”がuser@mail.com の場合はmail.com)

メッセージ本文 -

  • mailing system wants to let you know that, Your e-mail account has been temporary disabled because of unauthorized access. Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
  • Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
  • We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
  • Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
  • Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
  • Read the attach.
  • Your file is attached.
  • More info in attach
  • See attach.
  • Follow the wabbit.
  • Find the white rabbit.
  • Please, have a look at the attached file.
  • See the attached file for details.
  • Message is in attach
  • Here is the file.
  • For more information see the attached file.
  • Further details can be obtained from attached file.
  • Advanced details can be found in attached file.
  • For details see the attach.
  • For details see the attached file.
  • For further details see the attach.
  • Please, read the attach for further details.
  • Pay attention on attached file.

パスワード情報 -

  • For security reasons attached file is password protected. The password is (attached image inserted)
  • For security purposes the attached file is password protected. Password -- (attached image inserted)
  • Note: Use password (attached image inserted) to open archive.
  • Attached file is protected with the password for security reasons. Password is (attached image inserted)
  • In order to read the attach you have to use the following password: (attached image inserted)
  • Archive password: (attached image inserted)
  • Password - (attached image inserted)
  • Password: (attached image inserted)

結びの言葉 -

  • The Management,
  • Sincerely,
  • Best wishes,
  • Yours,
  • Have a good day,
  • Cheers,
  • Kind regards,

The %s team (%の部分にはリンクを含んだユーザドメイン名が入ります。)

添付ファイル: 添付ファイルはパスワードプロテクトのかかったZIPまたはRARファイル、もしくはパスワードプロテクトのかかっていないPIFファイルで、ランダムに名前の付けられた実行ファイルです。

  • Attach
  • Information
  • Details
  • Encrypted
  • first_part
  • Readme
  • Document
  • Info
  • TextDocument
  • Text
  • details
  • Gift
  • text_document
  • pub_document
  • MoreInfo
  • Message

・W32/Bagle.p@MMは以下のように、Windows Systemディレクトリに以下のような名前で自身をコピーします。

  • C:\WINNT\SYSTEM32\WINUPD.EXE
  • C:\WINNT\SYSTEM32\winupd.exeopen
  • C:\WINNT\SYSTEM32\winupd.exeopenopen

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "winupd.exe" = C:\WINNT\SYSTEM32\winupd.exe

・W32/Bagle.p@MMは以下のアイコンを使用して、自身を偽装します。

・以下のファイル名を持つセキュリティプログラムのプロセスを強制終了させようとします。

  • CLEANER3.EXE
  • au.exe
  • d3dupdate.exe
  • CLEANPC.EXE
  • AVprotect9x.exe
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CPF9X206.EXE
  • CPFNT206.EXE
  • CV.EXE
  • CWNB181.EXE
  • CWNTDWMO.EXE
  • ICSSUPPNT.EXE
  • DEFWATCH.EXE
  • DEPUTY.EXE
  • DPF.EXE
  • DPFSETUP.EXE
  • DRWATSON.EXE
  • ENT.EXE
  • ESCANH95.EXE
  • AVXQUAR.EXE
  • ESCANHNT.EXE
  • ESCANV95.EXE
  • AVPUPD.EXE
  • EXANTIVIRUS-CNET.EXE
  • FAST.EXE
  • FIREWALL.EXE
  • FLOWPROTECTOR.EXE
  • FP-WIN_TRIAL.EXE
  • FRW.EXE
  • FSAV.EXE
  • AUTODOWN.EXE
  • FSAV530STBYB.EXE
  • FSAV530WTBYB.EXE
  • FSAV95.EXE
  • GBMENU.EXE
  • GBPOLL.EXE
  • GUARD.EXE
  • GUARDDOG.EXE
  • HACKTRACERSETUP.EXE
  • HTLOG.EXE
  • HWPE.EXE
  • IAMAPP.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFW2000.EXE
  • IPARMOR.EXE
  • IRIS.EXE
  • JAMMER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • KAVLITE40ENG.EXE
  • KAVPERS40ENG.EXE
  • KERIO-PF-213-EN-WIN.EXE
  • KERIO-WRL-421-EN-WIN.EXE
  • BORG2.EXE
  • BS120.EXE
  • CDP.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • AUTOUPDATE.EXE
  • CFINET.EXE
  • NAVAPW32.EXE
  • NAVDX.EXE
  • NAVSTUB.EXE
  • NAVW32.EXE
  • NC2000.EXE
  • NCINST4.EXE
  • AUTOTRACE.EXE
  • NDD32.EXE
  • NEOMONITOR.EXE
  • NETARMOR.EXE
  • NETINFO.EXE
  • NETMON.EXE
  • NETSCANPRO.EXE
  • NETSPYHUNTER-1.2.EXE
  • NETSTAT.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORTON_INTERNET_SECU_3.0_407.EXE
  • NPF40_TW_98_NT_ME_2K.EXE
  • NPFMESSENGER.EXE
  • NPROTECT.EXE
  • NSCHED32.EXE
  • NTVDM.EXE
  • NVARCH16.EXE
  • KERIO-WRP-421-EN-WIN.EXE
  • KILLPROCESSSETUP161.EXE
  • LDPRO.EXE
  • LOCALNET.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • LSETUP.EXE
  • OUTPOST.EXE
  • CFIAUDIT.EXE
  • LUCOMSERVER.EXE
  • AGENTSVR.EXE
  • ANTI-TROJAN.EXE
  • ANTI-TROJAN.EXE
  • ANTIVIRUS.EXE
  • ANTS.EXE
  • APIMONITOR.EXE
  • APLICA32.EXE
  • APVXDWIN.EXE
  • ATCON.EXE
  • ATGUARD.EXE
  • ATRO55EN.EXE
  • ATWATCH.EXE
  • AVCONSOL.EXE
  • AVGSERV9.EXE
  • AVSYNMGR.EXE
  • BD_PROFESSIONAL.EXE
  • BIDEF.EXE
  • BIDSERVER.EXE
  • BIPCP.EXE
  • BIPCPEVALSETUP.EXE
  • BISP.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • BOOTWARN.EXE
  • NWINST4.EXE
  • NWTOOL16.EXE
  • OSTRONET.EXE
  • OUTPOSTINSTALL.EXE
  • OUTPOSTPROINSTALL.EXE
  • PADMIN.EXE
  • PANIXK.EXE
  • PAVPROXY.EXE
  • DRWEBUPW.EXE
  • PCC2002S902.EXE
  • PCC2K_76_1436.EXE
  • PCCIOMON.EXE
  • PCDSETUP.EXE
  • PCFWALLICON.EXE
  • PCFWALLICON.EXE
  • PCIP10117_0.EXE
  • PDSETUP.EXE
  • PERISCOPE.EXE
  • PERSFW.EXE
  • PF2.EXE
  • AVLTMAIN.EXE
  • PFWADMIN.EXE
  • PINGSCAN.EXE
  • PLATIN.EXE
  • POPROXY.EXE
  • POPSCAN.EXE
  • PORTDETECTIVE.EXE
  • PPINUPDT.EXE
  • PPTBC.EXE
  • PPVSTOP.EXE
  • PROCEXPLORERV1.0.EXE
  • PROPORT.EXE
  • PROTECTX.EXE
  • PSPF.EXE
  • WGFE95.EXE
  • WHOSWATCHINGME.EXE
  • AVWUPD32.EXE
  • NUPGRADE.EXE
  • WHOSWATCHINGME.EXE
  • WINRECON.EXE
  • WNT.EXE
  • WRADMIN.EXE
  • WRCTRL.EXE
  • WSBGATE.EXE
  • WYVERNWORKSFIREWALL.EXE
  • XPF202EN.EXE
  • ZAPRO.EXE
  • ZAPSETUP3001.EXE
  • ZATUTOR.EXE
  • CFINET32.EXE
  • CLEAN.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • CLEANPC.EXE
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CPD.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • PURGE.EXE
  • PVIEW95.EXE
  • QCONSOLE.EXE
  • QSERVER.EXE
  • RAV8WIN32ENG.EXE
  • REGEDT32.EXE
  • REGEDIT.EXE
  • UPDATE.EXE
  • RESCUE.EXE
  • RESCUE32.EXE
  • RRGUARD.EXE
  • RSHELL.EXE
  • RTVSCN95.EXE
  • RULAUNCH.EXE
  • SAFEWEB.EXE
  • SBSERV.EXE
  • SD.EXE
  • SETUP_FLOWPROTECTOR_US.EXE
  • SETUPVAMEEVAL.EXE
  • SFC.EXE
  • SGSSFW32.EXE
  • SH.EXE
  • SHELLSPYINSTALL.EXE
  • SHN.EXE
  • SMC.EXE
  • SOFI.EXE
  • SPF.EXE
  • SPHINX.EXE
  • SPYXX.EXE
  • SS3EDIT.EXE
  • ST2.EXE
  • SUPFTRL.EXE
  • LUALL.EXE
  • SUPPORTER5.EXE
  • SYMPROXYSVC.EXE
  • SYSEDIT.EXE
  • TASKMON.EXE
  • TAUMON.EXE
  • TAUSCAN.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • TDS-3.EXE
  • TFAK5.EXE
  • TGBOB.EXE
  • TITANIN.EXE
  • TITANINXP.EXE
  • TRACERT.EXE
  • TRJSCAN.EXE
  • TRJSETUP.EXE
  • TROJANTRAP3.EXE
  • UNDOBOOT.EXE
  • VBCMSERV.EXE
  • VBCONS.EXE
  • VBUST.EXE
  • VBWIN9X.EXE
  • VBWINNTW.EXE
  • VCSETUP.EXE
  • VFSETUP.EXE
  • VIRUSMDPERSONALFIREWALL.EXE
  • VNLAN300.EXE
  • VNPC3000.EXE
  • VPC42.EXE
  • VPFW30S.EXE
  • VPTRAY.EXE
  • VSCENU6.02D30.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSISETUP.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • VSWIN9XE.EXE
  • VSWINNTSE.EXE
  • VSWINPERSE.EXE
  • W32DSM89.EXE
  • W9X.EXE
  • WATCHDOG.EXE
  • WEBSCANX.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • ICSUPP95.EXE
  • MCUPDATE.EXE
  • CFINET32.EXE
  • CLEAN.EXE
  • CLEANER.EXE
  • LUINIT.EXE
  • MCAGENT.EXE
  • MCUPDATE.EXE
  • MFW2EN.EXE
  • MFWENG3.02D30.EXE
  • MGUI.EXE
  • MINILOG.EXE
  • MOOLIVE.EXE
  • MRFLUX.EXE
  • MSCONFIG.EXE
  • MSINFO32.EXE
  • MSSMMC32.EXE
  • MU0311AD.EXE
  • NAV80TRY.EXE
  • ZAUINST.EXE
  • ZONALM2601.EXE
  • ZONEALARM.EXE

パラサイト的なファイル感染

・W32/Bagle.p@MMはローカルドライブ内で*.EXEファイルを探し、自身のコードを暗号化して付加します。感染ファイルサイズは約45キロバイト大きくなります。ファイルの更新日時も更新されます。

・2005年12月31日以降に、ウイルスは自身のレジストリランキーを削除して自ら無力化します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・送信メールが上記の特徴に一致しています。
・上記のファイル/レジストリキーが存在します。
・.EXEファイルのファイルサイズが約45kbほど大きくなっている。
・システムがTCPポート2556を聴取している

感染方法TOPへ戻る
メールを介した繁殖

・W32/Bagle.p@MMは自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先の電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • .jsp

・以下の文字列を含むアドレスには送信しません。

  • @hotmail.com
  • @msn
  • @microsoft
  • anyone@
  • bugs@
  • contract@
  • feste
  • gold-certs@
  • help@
  • info@
  • nobody@
  • noone@
  • rating@
  • kasp
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • samples
  • sopho
  • @foo
  • @iana
  • free-av
  • @messagelab
  • winzip
  • google
  • winrar
  • abuse
  • panda
  • cafee
  • spam
  • pgp
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@
  • f-secur

ピアツーピアを介した繁殖

・ ファイルは“shar”の語句を含むフォルダに作成されます。

  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Porno Screensaver.scr
  • Serials.txt.exe
  • Porno pics arhive, xxx.exe
  • Windows Sourcecode update.doc.exe
  • Ahead Nero 7.exe
  • Windown Longhorn Beta Leak.exe
  • Opera 8 New!.exe
  • XXX hardcore images.exe
  • WinAmp 6 New!.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • Adobe Photoshop 9 full.exe
  • Matrix 3 Revolution English Subtitles.exe
  • ACDSee 9.exe

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagle.p@MMに対応しています。ダウンロードはこちら

■McAfee Desktop Firewall
McAfee Desktop Firewallユーザは受信TCPポート2556をブロックすることで不正なリモートアクセスを防げます。