製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.q@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4340
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7498)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Bagle.eml!ms03-032
情報掲載日04/03/19
発見日(米国日付)04/03/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/12Generic.tfr!...
07/12RDN/Generic....
07/12Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7498
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

- 2004年3月18日 太平洋標準時間 06:45 更新情報 -

・590のIPアドレスのほとんどがクローズされました。掲載時点では、39のIPアドレスが応答しています。

- 2004年3月18日 太平洋標準時間 04:25 更新情報 -

・W32/Bagle.q@MMは以下のメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。

  • http://www.emedia.com.my/Current_News/NST/Thursday/NewsBreak
    /20040318174911/Article/indexb_html

・通常定義ファイルがリリースされるまでの間は以下のEXTRA.DATをお使いください。


・W32/Bagle.q@MMの特徴は以下のとおりです。

  • メッセージを作成するために自身のSMTPエンジンを内蔵しています。
  • W32/Bagle.q@MMは、空白に見せかけた電子メールによって繁殖します。この電子メールは“Microsoft Security Bulletin MS03-032”の脆弱性を利用して、ユーザーの介入やアクションなしにポート81でワームをダウンロードします。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 電子メールメッセージの送信者アドレスを偽造します。
  • リモートアクセスコンポーネントを持ちます(ハッカーに通知を送信)。
  • KaZaa、Bearshare、Limewireなどの一般的なピアツーピアアプリケーションのような、名前に“shar”の語句を含むフォルダに自身をコピーします。
  • 暗号化された寄生ポリモルフィック型ファイル感染ウイルスです。

総称による検出

・W32/Bagle.q@MMは、定義ファイル4339以降でプログラムヒューリスティックを有効にして圧縮ファイルをスキャンすると、トロイの木馬NewMalware.bもしくは亜種として検出されます。

・寄生によって感染したファイルは、定義ファイル4338以降で、W32/Bagleウイルスもしくは亜種として、検出されます。

・ダウンロード(電子メールメッセージのプレビューによって)されたこのスクリプトコンポーネントは、定義ファイル4306以降でVBS/Psymeとして検出されます。

感染の仕組み

・電子メールはInternet ExplorerのObject Tagの脆弱性を利用して作成されます。この電子メールの閲覧時に、リモートのHTMLファイルがリモートマシンのポート81からダウンロードされます。

・このHTMLファイルはVBSスクリプト(Q.VBS)をドロップ(作成)します。Q.VBSはリモートマシン(ポート81)からW32/Bagle.q@MM(SM.EXEとして)をダウンロードします。 このスクリプトにより、SM.EXE.ファイルが実行されます。

電子メールを介した繁殖

・作成されるメッセージの本文は、これまでに発見された亜種と、非常に類似しています。効果的にメールをカスタマイズしたり、正式な警告メッセージに見せかけるために、いくつかのパートに分かれています。

注:W32/Bagle.q@MMは、隠しHTMLコードを含む電子メール経由で繁殖することもできます。プレビュー時はメッセージを空白に見せかけます。これらの電子メールはバイナリの添付ファイルを含みませんが、よく知られているMicrosoftの脆弱性を利用して、リモートサイトからW32/Bagle.q@MMをダウンロードします。

・詳細は以下のとおりです。

差出人:(偽装されたメールアドレス。以下のリストから選択された受信者のドメイン名とユーザー名、またはローカルシステム上の別のメールアドレスを利用。)

  • management@
  • administration@
  • staff@
  • noreply@
  • support@
  • antivirus@
  • antispam@

件名:

  • Password: %s
  • Pass - %s
  • Password - %s
  • E-mail account security warning.
  • Notify about using the e-mail account.
  • Warning about your e-mail account.
  • Important notify about your e-mail account.
  • Email account utilization warning.
  • E-mail technical support message.
  • E-mail technical support warning.
  • Email report
  • Important notify
  • Account notify
  • E-mail warning
  • Notify from e-mail technical support.
  • Notify about your e-mail account utilization.
  • E-mail account disabling warning.
  • Re: Msg reply
  • Re: Hello
  • Re: Yahoo!
  • Re: Thank you!
  • Re: Thanks :)
  • RE: Text message
  • Re: Document
  • Incoming message
  • Re: Incoming Message
  • Re: Incoming Fax
  • Hidden message
  • Fax Message Received
  • Protected message
  • RE: Protected message
  • Forum notify
  • Request response
  • Site changes
  • Re: Hi
  • Encrypted document

添付ファイル:(添付ファイルなし)

・W32/Bagle.q@MMはInternet ExplorerのObject Tagの脆弱性を利用します。ADODB.Streamオブジェクトを悪用して、ローカルファイルの書込みおよび上書きができます。リモートファイル(random_name.php)が電子メールの閲覧時にダウンロードされます。このファイルは実際はVBSスクリプトを含むHTMLファイルであり、定義ファイル4306以降でVBS/Psymeとして検出されます。このスクリプトが実行されると、別のVBSスクリプト(Q.VBS、VBS/Psymeとしても検出)を作成します。以下のIPアドレスのいずれかよりW32/Bagle.q@MMをダウンロードします。

  • 12.202.237.159
  • 12.215.146.21
  • 12.216.112.116
  • 12.216.240.162
  • 12.217.207.113
  • 12.219.25.124
  • 12.220.67.12
  • 12.221.150.192
  • 12.221.192.229
  • 12.221.80.25
  • 12.222.118.236
  • 12.222.216.56
  • 12.222.223.242
  • 12.222.81.119
  • 129.107.101.93
  • 129.81.227.184
  • 129.81.239.139
  • 129.81.75.32
  • 130.160.206.10
  • 134.193.180.26
  • 134.50.87.32
  • 137.165.219.59
  • 138.87.144.111
  • 138.87.209.62
  • 138.87.210.7
  • 140.112.241.234
  • 140.112.251.34
  • 140.112.251.51
  • 140.113.138.95
  • 143.248.22.233
  • 147.46.120.105
  • 155.230.106.164
  • 161.45.171.210
  • 161.45.198.133
  • 161.45.198.45
  • 161.45.199.50
  • 161.45.215.114
  • 161.45.234.125
  • 161.45.234.98
  • 161.45.244.66
  • 161.45.250.216
  • 161.45.250.223
  • 161.45.251.88
  • 163.180.61.70
  • 163.25.105.29
  • 165.134.174.100
  • 165.134.175.146
  • 165.134.187.102
  • 165.134.30.63
  • 166.104.223.58
  • 168.115.122.139
  • 169.230.73.208
  • 169.233.34.17
  • 169.233.42.189
  • 171.64.213.173
  • 172.143.140.211
  • 172.196.216.67
  • 172.197.45.246
  • 172.197.69.221
  • 172.200.104.47
  • 172.203.155.47
  • 198.248.37.116
  • 198.68.133.112
  • 199.89.229.122
  • 200.101.91.212
  • 200.104.204.116
  • 200.104.53.10
  • 200.106.79.77
  • 200.141.160.239
  • 200.198.90.156
  • 200.207.166.42
  • 200.90.107.104
  • 200.95.37.195
  • 200.97.29.200
  • 202.173.152.26
  • 203.144.159.170
  • 203.219.71.118
  • 203.231.71.197
  • 203.234.156.71
  • 203.240.148.136
  • 203.242.178.110
  • 203.249.87.7
  • 203.253.16.44
  • 203.45.29.117
  • 203.88.49.225
  • 204.210.188.229
  • 205.251.211.14
  • 208.180.134.153
  • 208.180.218.171
  • 209.121.80.213
  • 209.184.177.157
  • 209.34.41.11
  • 210.118.250.163
  • 210.183.30.212
  • 210.6.164.134
  • 210.6.227.251
  • 210.98.252.110
  • 211.108.217.117
  • 211.110.113.191
  • 211.118.218.66
  • 211.119.23.91
  • 211.172.200.60
  • 211.173.187.106
  • 211.181.1.68
  • 211.183.53.227
  • 211.187.219.40
  • 211.212.208.181
  • 211.232.110.5
  • 211.232.133.37
  • 211.232.21.22
  • 211.232.62.42
  • 211.235.15.144
  • 211.238.196.72
  • 211.238.255.228
  • 211.238.34.233
  • 211.239.146.171
  • 211.242.155.146
  • 211.28.70.2
  • 211.41.226.61
  • 211.53.97.155
  • 211.61.219.190
  • 212.179.117.105
  • 212.179.123.227
  • 212.186.190.35
  • 212.199.219.202
  • 213.245.10.105
  • 213.61.149.46
  • 216.194.46.105
  • 217.132.15.130
  • 217.132.67.18
  • 217.132.96.143
  • 218.144.174.55
  • 218.154.213.158
  • 218.190.180.211
  • 218.237.249.200
  • 218.239.156.233
  • 218.50.182.87
  • 218.76.5.84
  • 219.15.112.80
  • 219.251.73.78
  • 221.153.61.232
  • 24.1.58.14
  • 24.10.136.202
  • 24.100.74.92
  • 24.108.113.7
  • 24.108.129.22
  • 24.108.132.127
  • 24.108.5.170
  • 24.108.56.176
  • 24.108.86.144
  • 24.112.235.36
  • 24.116.169.77
  • 24.116.90.197
  • 24.118.56.142
  • 24.126.155.29
  • 24.126.173.31
  • 24.127.40.168
  • 24.128.95.254
  • 24.13.109.43
  • 24.13.183.226
  • 24.13.59.97
  • 24.136.216.177
  • 24.140.15.74
  • 24.141.7.244
  • 24.141.73.22
  • 24.143.7.15
  • 24.144.27.24
  • 24.145.164.9
  • 24.151.169.217
  • 24.158.12.215
  • 24.158.137.74
  • 24.159.124.119
  • 24.16.92.57
  • 24.161.209.227
  • 24.164.64.122
  • 24.167.26.11
  • 24.169.251.65
  • 24.17.34.241
  • 24.170.46.177
  • 24.171.136.45
  • 24.175.21.96
  • 24.175.229.21
  • 24.175.69.29
  • 24.176.237.71
  • 24.18.242.25
  • 24.18.95.76
  • 24.19.162.244
  • 24.192.223.75
  • 24.196.122.147
  • 24.197.136.125
  • 24.198.88.152
  • 24.199.114.218
  • 24.2.83.15
  • 24.20.149.122
  • 24.200.102.240
  • 24.205.176.236
  • 24.205.69.15
  • 24.206.67.189
  • 24.208.68.178
  • 24.209.101.61
  • 24.211.189.223
  • 24.214.104.3
  • 24.214.134.51
  • 24.217.143.14
  • 24.220.189.61
  • 24.221.14.188
  • 24.222.194.255
  • 24.222.206.245
  • 24.224.236.131
  • 24.229.92.78
  • 24.231.156.251
  • 24.231.202.33
  • 24.239.210.203
  • 24.240.149.119
  • 24.241.201.198
  • 24.243.229.252
  • 24.247.174.252
  • 24.27.129.115
  • 24.27.133.249
  • 24.28.137.137
  • 24.3.166.162
  • 24.30.126.179
  • 24.31.122.240
  • 24.36.28.176
  • 24.37.5.17
  • 24.4.224.28
  • 24.4.232.3
  • 24.43.61.0
  • 24.44.197.9
  • 24.49.135.147
  • 24.5.193.106
  • 24.5.4.197
  • 24.50.137.152
  • 24.50.29.51
  • 24.53.19.250
  • 24.54.12.106
  • 24.55.225.61
  • 24.57.46.14
  • 24.6.169.94
  • 24.6.197.40
  • 24.6.210.51
  • 24.6.249.209
  • 24.64.159.239
  • 24.64.84.125
  • 24.64.92.129
  • 24.65.11.109
  • 24.65.16.117
  • 24.67.188.215
  • 24.68.56.236
  • 24.7.147.3
  • 24.7.172.139
  • 24.7.189.204
  • 24.77.134.52
  • 24.77.64.27
  • 24.77.72.167
  • 24.78.141.182
  • 24.78.149.10
  • 24.78.164.182
  • 24.79.172.120
  • 24.8.177.96
  • 24.80.196.225
  • 24.81.159.145
  • 24.82.133.226
  • 24.82.50.69
  • 24.84.218.164
  • 24.99.22.178
  • 35.11.176.84
  • 4.10.74.131
  • 4.11.105.135
  • 4.12.35.57
  • 4.12.7.76
  • 4.13.73.34
  • 4.34.197.197
  • 4.40.36.41
  • 4.42.98.96
  • 4.43.153.130
  • 4.46.131.126
  • 4.46.64.9
  • 4.47.121.110
  • 4.5.128.188
  • 4.5.57.133
  • 4.5.70.191
  • 4.60.187.66
  • 4.61.145.14
  • 4.62.78.87
  • 4.63.180.225
  • 4.65.12.31
  • 4.65.54.16
  • 4.65.60.210
  • 4.8.132.136
  • 4.8.164.62
  • 4.8.204.152
  • 4.8.227.139
  • 4.8.40.57
  • 61.102.189.120
  • 61.105.239.10
  • 61.106.201.149
  • 61.250.126.203
  • 61.33.146.212
  • 61.33.146.213
  • 61.33.200.42
  • 61.34.187.178
  • 61.37.174.163
  • 61.37.174.199
  • 61.40.0.235
  • 61.40.158.237
  • 61.59.189.62
  • 61.93.167.227
  • 61.97.114.91
  • 61.97.116.142
  • 61.97.116.199
  • 61.99.86.117
  • 62.215.83.153
  • 63.203.156.220
  • 63.205.32.83
  • 64.160.201.183
  • 65.100.122.132
  • 65.165.186.160
  • 65.167.185.189
  • 65.167.185.90
  • 65.28.19.47
  • 65.29.98.241
  • 65.33.202.194
  • 65.33.90.68
  • 65.37.55.128
  • 65.38.16.127
  • 65.50.143.163
  • 65.68.100.34
  • 65.69.84.202
  • 65.71.33.251
  • 65.73.134.209
  • 65.94.151.100
  • 66.112.231.113
  • 66.131.140.145
  • 66.131.25.57
  • 66.169.229.186
  • 66.169.239.220
  • 66.169.99.119
  • 66.171.141.72
  • 66.176.82.39
  • 66.183.208.158
  • 66.186.231.62
  • 66.188.120.91
  • 66.188.128.55
  • 66.188.89.69
  • 66.189.203
  • 66.189.243.51
  • 66.190.21.77
  • 66.190.248.234
  • 66.191.112.44
  • 66.205.114.167
  • 66.214.142.6
  • 66.214.189.27
  • 66.214.195.108
  • 66.229.45.187
  • 66.233.129.107
  • 66.233.155.49
  • 66.233.165.201
  • 66.233.191.250
  • 66.233.213.161
  • 66.233.95.30
  • 66.237.50.87
  • 66.244.94.156
  • 66.26.169.4
  • 66.27.228.114
  • 66.42.182.72
  • 66.69.123.222
  • 66.74.198.156
  • 66.75.155.232
  • 66.75.17.32
  • 66.75.24.158
  • 66.75.37.186
  • 66.75.59.118
  • 66.76.163.129
  • 66.76.164.90
  • 66.76.170.157
  • 66.76.232.136
  • 66.76.93.246
  • 67.121.104.43
  • 67.124.198.68
  • 67.127.159.47
  • 67.160.147.136
  • 67.160.195.8
  • 67.160.198.206
  • 67.162.155.185
  • 67.164.60.106
  • 67.165.246.134
  • 67.166.112.180
  • 67.166.116.241
  • 67.167.220.130
  • 67.168.218.238
  • 67.168.68.197
  • 67.169.13.236
  • 67.169.173.204
  • 67.169.96.37
  • 67.170.102.147
  • 67.170.234.126
  • 67.170.75.107
  • 67.171.157.22
  • 67.171.230.94
  • 67.171.232.77
  • 67.173.189.14
  • 67.21.120.2
  • 67.21.121.138
  • 67.22.58.130
  • 67.23.100.10
  • 67.38.163.3
  • 67.85.50.79
  • 68.1.129.228
  • 68.1.230.192
  • 68.1.50.140
  • 68.101.79.59
  • 68.104.209.10
  • 68.104.56.100
  • 68.105.33.166
  • 68.105.85.123
  • 68.107.106.192
  • 68.107.117.224
  • 68.107.160.181
  • 68.107.23.153
  • 68.108.221.107
  • 68.108.244.137
  • 68.108.38.85
  • 68.108.71.199
  • 68.108.86.222
  • 68.108.87.23
  • 68.109.112.215
  • 68.109.59.152
  • 68.11.20.245
  • 68.11.231.35
  • 68.110.193.49
  • 68.110.233.209
  • 68.111.111.21
  • 68.111.114.197
  • 68.111.142.202
  • 68.111.227.235
  • 68.112.157.153
  • 68.112.237.76
  • 68.112.41.132
  • 68.112.62.74
  • 68.112.95.217
  • 68.113.116.229
  • 68.114.210.200
  • 68.115.187.234
  • 68.115.29.29
  • 68.115.30.218
  • 68.117.154.162
  • 68.117.173.26
  • 68.117.22.95
  • 68.117.38.11
  • 68.117.95.121
  • 68.118.129.55
  • 68.12.121.62
  • 68.12.247.212
  • 68.125.87.202
  • 68.13.251.234
  • 68.144.233.139
  • 68.146.118.63
  • 68.146.243.2
  • 68.147.143.109
  • 68.166.243.84
  • 68.168.94.149
  • 68.170.17.36
  • 68.170.181.167
  • 68.184.176.94
  • 68.185.188.71
  • 68.185.197.137
  • 68.186.232.171
  • 68.186.66.7
  • 68.187.130.183
  • 68.190.187.201
  • 68.190.193.38
  • 68.191.112.60
  • 68.191.167.13
  • 68.192.84.91
  • 68.192.91.148
  • 68.2.146.130
  • 68.2.152.187
  • 68.2.42.253
  • 68.2.62.45
  • 68.204.159.112
  • 68.216.86.218
  • 68.224.59.153
  • 68.225.201.103
  • 68.226.106.73
  • 68.226.111.123
  • 68.226.115.34
  • 68.226.177.26
  • 68.226.239.60
  • 68.227.186.212
  • 68.227.241.174
  • 68.228.251.128
  • 68.229.167.54
  • 68.230.122.66
  • 68.231.195.220
  • 68.232.246.172
  • 68.233.220.107
  • 68.233.252.115
  • 68.235.202.221
  • 68.237.200.40
  • 68.252.32.138
  • 68.3.254.32
  • 68.3.44.3
  • 68.34.220.187
  • 68.35.103.160
  • 68.35.121.2
  • 68.35.224.139
  • 68.36.232.127
  • 68.37.169.47
  • 68.39.46.56
  • 68.4.132.83
  • 68.4.141.91
  • 68.44.88.77
  • 68.47.231.161
  • 68.53.48.42
  • 68.54.230.26
  • 68.57.198.31
  • 68.59.154.1
  • 68.6.144.228
  • 68.6.147.151
  • 68.66.185.120
  • 68.67.237.226
  • 68.68.11.214
  • 68.68.234.206
  • 68.68.62.207
  • 68.68.89.75
  • 68.69.36.178
  • 68.7.10.127
  • 68.7.236.131
  • 68.7.81.58
  • 68.70.159.61
  • 68.70.223.96
  • 68.71.178.246
  • 68.71.49.106
  • 68.74.0.199
  • 68.8.235.18
  • 68.82.50.111
  • 68.86.78.110
  • 68.93.142.163
  • 68.95.8.238
  • 68.96.223.162
  • 68.97.129.68
  • 68.97.142.228
  • 68.97.173.250
  • 68.98.112.181
  • 68.98.227.165
  • 68.99.215.211
  • 68.99.249.177
  • 69.1.37.189
  • 69.10.112.107
  • 69.110.157.161
  • 69.111.16.229
  • 69.136.225.26
  • 69.139.77.172
  • 69.14.104.57
  • 69.144.12.133
  • 69.144.149.52
  • 69.145.209.32
  • 69.145.5.96
  • 69.148.181.109
  • 69.162.48.40
  • 69.162.96.67
  • 69.164.155.152
  • 69.166.213.52
  • 69.167.108.94
  • 69.22.120.32
  • 69.6.166.59
  • 69.60.233.135
  • 69.70.69.182
  • 69.73.3.176
  • 69.75.9.43
  • 69.81.7.189
  • 69.91.20.103
  • 80.179.200.104
  • 80.179.219.132
  • 80.179.65.245
  • 80.179.68.229
  • 80.218.158.253
  • 80.230.249.213
  • 80.232.135.3
  • 80.236.115.113
  • 81.198.131.233
  • 81.202.79.224
  • 81.56.53.160
  • 82.140.134.77
  • 82.166.167.26
  • 82.166.89.229
  • 82.36.67.41
  • 82.67.116.34
  • 83.130.228.36

インストール

・W32/Bagle.q@MMは、実行されるとWindows SystemディレクトリにDIRECTS.EXEとして自身をインストールします。ディレクトリ例:

  • C:\WINNT\SYSTEM32\DIRECTS.EXE

・以下のレジストリキーを追加します。

  • HKEY_CURRENT\_USER\Software\windirects

・以下のレジストリキーを追加して、システムの起動をフックします

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "directs.exe" = C:\WINNT\SYSTEM32\directs.exe

・W32/Bagle.q@MMは以下のアイコンを使用して自身を偽装します。

・以下のファイル名を持つセキュリティプログラムのプロセスを強制終了します。

  • CLEANER3.EXE
  • au.exe
  • d3dupdate.exe
  • CLEANPC.EXE
  • AVprotect9x.exe
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CPF9X206.EXE
  • CPFNT206.EXE
  • CV.EXE
  • CWNB181.EXE
  • CWNTDWMO.EXE
  • ICSSUPPNT.EXE
  • DEFWATCH.EXE
  • DEPUTY.EXE
  • DPF.EXE
  • DPFSETUP.EXE
  • DRWATSON.EXE
  • ENT.EXE
  • ESCANH95.EXE
  • AVXQUAR.EXE
  • ESCANHNT.EXE
  • ESCANV95.EXE
  • AVPUPD.EXE
  • EXANTIVIRUS-CNET.EXE
  • FAST.EXE
  • FIREWALL.EXE
  • FLOWPROTECTOR.EXE
  • FP-WIN_TRIAL.EXE
  • FRW.EXE
  • FSAV.EXE
  • AUTODOWN.EXE
  • FSAV530STBYB.EXE
  • FSAV530WTBYB.EXE
  • FSAV95.EXE
  • GBMENU.EXE
  • GBPOLL.EXE
  • GUARD.EXE
  • GUARDDOG.EXE
  • HACKTRACERSETUP.EXE
  • HTLOG.EXE
  • HWPE.EXE
  • IAMAPP.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFW2000.EXE
  • IPARMOR.EXE
  • IRIS.EXE
  • JAMMER.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • KAVLITE40ENG.EXE
  • KAVPERS40ENG.EXE
  • KERIO-PF-213-EN-WIN.EXE
  • KERIO-WRL-421-EN-WIN.EXE
  • BORG2.EXE
  • BS120.EXE
  • CDP.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • AUTOUPDATE.EXE
  • CFINET.EXE
  • NAVAPW32.EXE
  • NAVDX.EXE
  • NAVSTUB.EXE
  • NAVW32.EXE
  • NC2000.EXE
  • NCINST4.EXE
  • AUTOTRACE.EXE
  • NDD32.EXE
  • NEOMONITOR.EXE
  • NETARMOR.EXE
  • NETINFO.EXE
  • NETMON.EXE
  • NETSCANPRO.EXE
  • NETSPYHUNTER-1.2.EXE
  • NETSTAT.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORTON_INTERNET_SECU_3.0_407.EXE
  • NPF40_TW_98_NT_ME_2K.EXE
  • NPFMESSENGER.EXE
  • NPROTECT.EXE
  • NSCHED32.EXE
  • NTVDM.EXE
  • NVARCH16.EXE
  • KERIO-WRP-421-EN-WIN.EXE
  • KILLPROCESSSETUP161.EXE
  • LDPRO.EXE
  • LOCALNET.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • LSETUP.EXE
  • OUTPOST.EXE
  • CFIAUDIT.EXE
  • LUCOMSERVER.EXE
  • AGENTSVR.EXE
  • ANTI-TROJAN.EXE
  • ANTI-TROJAN.EXE
  • ANTIVIRUS.EXE
  • ANTS.EXE
  • APIMONITOR.EXE
  • APLICA32.EXE
  • APVXDWIN.EXE
  • ATCON.EXE
  • ATGUARD.EXE
  • ATRO55EN.EXE
  • ATWATCH.EXE
  • AVCONSOL.EXE
  • AVGSERV9.EXE
  • AVSYNMGR.EXE
  • BD_PROFESSIONAL.EXE
  • BIDEF.EXE
  • BIDSERVER.EXE
  • BIPCP.EXE
  • BIPCPEVALSETUP.EXE
  • BISP.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • BOOTWARN.EXE
  • NWINST4.EXE
  • NWTOOL16.EXE
  • OSTRONET.EXE
  • OUTPOSTINSTALL.EXE
  • OUTPOSTPROINSTALL.EXE
  • PADMIN.EXE
  • PANIXK.EXE
  • PAVPROXY.EXE
  • DRWEBUPW.EXE
  • PCC2002S902.EXE
  • PCC2K_76_1436.EXE
  • PCCIOMON.EXE
  • PCDSETUP.EXE
  • PCFWALLICON.EXE
  • PCFWALLICON.EXE
  • PCIP10117_0.EXE
  • PDSETUP.EXE
  • PERISCOPE.EXE
  • PERSFW.EXE
  • PF2.EXE
  • AVLTMAIN.EXE
  • PFWADMIN.EXE
  • PINGSCAN.EXE
  • PLATIN.EXE
  • POPROXY.EXE
  • POPSCAN.EXE
  • PORTDETECTIVE.EXE
  • PPINUPDT.EXE
  • PPTBC.EXE
  • PPVSTOP.EXE
  • PROCEXPLORERV1.0.EXE
  • PROPORT.EXE
  • PROTECTX.EXE
  • PSPF.EXE
  • WGFE95.EXE
  • WHOSWATCHINGME.EXE
  • AVWUPD32.EXE
  • NUPGRADE.EXE
  • WHOSWATCHINGME.EXE
  • WINRECON.EXE
  • WNT.EXE
  • WRADMIN.EXE
  • WRCTRL.EXE
  • WSBGATE.EXE
  • WYVERNWORKSFIREWALL.EXE
  • XPF202EN.EXE
  • ZAPRO.EXE
  • ZAPSETUP3001.EXE
  • ZATUTOR.EXE
  • CFINET32.EXE
  • CLEAN.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • CLEANPC.EXE
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CPD.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • PURGE.EXE
  • PVIEW95.EXE
  • QCONSOLE.EXE
  • QSERVER.EXE
  • RAV8WIN32ENG.EXE
  • REGEDT32.EXE
  • REGEDIT.EXE
  • UPDATE.EXE
  • RESCUE.EXE
  • RESCUE32.EXE
  • RRGUARD.EXE
  • RSHELL.EXE
  • RTVSCN95.EXE
  • RULAUNCH.EXE
  • SAFEWEB.EXE
  • SBSERV.EXE
  • SD.EXE
  • SETUP_FLOWPROTECTOR_US.EXE
  • SETUPVAMEEVAL.EXE
  • SFC.EXE
  • SGSSFW32.EXE
  • SH.EXE
  • SHELLSPYINSTALL.EXE
  • SHN.EXE
  • SMC.EXE
  • SOFI.EXE
  • SPF.EXE
  • SPHINX.EXE
  • SPYXX.EXE
  • SS3EDIT.EXE
  • ST2.EXE
  • SUPFTRL.EXE
  • LUALL.EXE
  • SUPPORTER5.EXE
  • SYMPROXYSVC.EXE
  • SYSEDIT.EXE
  • TASKMON.EXE
  • TAUMON.EXE
  • TAUSCAN.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • TDS-3.EXE
  • TFAK5.EXE
  • TGBOB.EXE
  • TITANIN.EXE
  • TITANINXP.EXE
  • TRACERT.EXE
  • TRJSCAN.EXE
  • TRJSETUP.EXE
  • TROJANTRAP3.EXE
  • UNDOBOOT.EXE
  • VBCMSERV.EXE
  • VBCONS.EXE
  • VBUST.EXE
  • VBWIN9X.EXE
  • VBWINNTW.EXE
  • VCSETUP.EXE
  • VFSETUP.EXE
  • VIRUSMDPERSONALFIREWALL.EXE
  • VNLAN300.EXE
  • VNPC3000.EXE
  • VPC42.EXE
  • VPFW30S.EXE
  • VPTRAY.EXE
  • VSCENU6.02D30.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSISETUP.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • VSWIN9XE.EXE
  • VSWINNTSE.EXE
  • VSWINPERSE.EXE
  • W32DSM89.EXE
  • W9X.EXE
  • WATCHDOG.EXE
  • WEBSCANX.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • ICSUPP95.EXE
  • MCUPDATE.EXE
  • CFINET32.EXE
  • CLEAN.EXE
  • CLEANER.EXE
  • LUINIT.EXE
  • MCAGENT.EXE
  • MCUPDATE.EXE
  • MFW2EN.EXE
  • MFWENG3.02D30.EXE
  • MGUI.EXE
  • MINILOG.EXE
  • MOOLIVE.EXE
  • MRFLUX.EXE
  • MSCONFIG.EXE
  • MSINFO32.EXE
  • MSSMMC32.EXE
  • MU0311AD.EXE
  • NAV80TRY.EXE
  • ZAUINST.EXE
  • ZONALM2601.EXE
  • ZONEALARM.EXE

寄生によるファイル感染

・W32/Bagle.q@MMはローカルドライブ内で*.EXEファイルを検索し、自身のコードを暗号化して追加します。感染ファイルのサイズは約26キロバイト増加します。ファイルの更新日時も更新されます。

・2005年12月31日以降、W32/Bagle.q@MMはレジストリ実行キーを削除することで自身を無効化します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・送信メールが上記の特徴に一致しています。

・上記のファイル/レジストリキーが存在します。

・.EXEファイルのファイルサイズが約45キロバイト増加します。

・ターゲットマシン上で以下のTCPポートを開きます。

  • 81
  • 2556

・%SysDir%フォルダに以下のファイルが存在します。

  • directs.exe(26,500バイト)
  • directs.exeopen(26,807バイト)

感染方法TOPへ戻る

電子メールを介した繁殖

・W32/Bagle.q@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。宛先の電子メールアドレスは、ターゲットマシン上の以下の拡張子を持つファイルから収集されます。

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • .jsp

・以下の文字列を含むアドレスには送信しません。

  • @hotmail
  • @msn
  • @microsoft
  • rating@
  • f-secur
  • anyone@
  • bugs@
  • contract@
  • feste
  • gold-certs@
  • help@
  • info@
  • nobody@
  • noone@
  • kasp
  • admin
  • icrosoftsupport
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • sopho
  • @foo
  • @iana
  • free-av
  • @messagelabwinzip
  • google
  • winrar
  • samples
  • abuse
  • panda
  • cafee
  • spam
  • pgp
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@

ピアツーピアを介した繁殖

・ファイルは“shar”の語句を含むフォルダに作成されます。

  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Porno Screensaver.scr
  • Serials.txt.exe
  • Porno pics arhive, xxx.exe
  • Windows Sourcecode update.doc.exe
  • Ahead Nero 7.exe
  • Windown Longhorn Beta Leak.exe
  • Opera 8 New!.exe
  • XXX hardcore images.exe
  • WinAmp 6 New!.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • Adobe Photoshop 9 full.exe
  • Matrix 3 Revolution English Subtitles.exe
  • ACDSee 9.exe

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

このウイルスには、4340定義ファイルで対応いたします。4340定義ファイルは04/03/25に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いいただけます。

また以下のEXTRA.DATも対応しております。

このEXTRA.DATには以下のウイルスを検索できる機能が含まれています。

  • W32/Bagle.q@MM
  • W32/Bagle.r@MM
  • W32/Bagle.s@MM
  • W32/Bagle.t@MM

・また、ゲートウェイ製品および、電子メールスキャンプラグイン製品には、脆弱性を利用するコードを含む電子メールをW32/Bagle.eml!mso3-032として検索できる機能がついています。