製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.u@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4344
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7565)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Bagle.U (F-Secure)
W32.Beagle.U@mm (NAV)
W32/Bagle-U (Sophos)
情報掲載日04/03/27
発見日(米国日付)04/03/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bagle.u@MMはW32/Bagle@MMウイルスの亜種で、FSG圧縮されています。

メール繁殖

W32/Bagle.u@MMは感染マシンから取り出した宛先に対して、ウイルス自身を大量メール送信します。収集されるアドレスは以下のファイル内から取り出されます。

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • .jsp
・送信されるメールは以下のような形式をとります。

差出人:(取り出されたメールアドレスの1つを使い差出人を偽装)
件名:(空白)
本文:(空白)
添付ファイル:.EXE拡張子のついた、ランダムな名前の実行ファイル

・W32/Bagle.u@MMは以下を含むアドレスには自身を送信しません。

  • @avp.
  • @microsoft

リモートアクセスコンポーネント

・W32/Bagle.u@MMは感染マシンのTCPポート4751を開きます。

・このワームはリモートスクリプトに対してHTTP経由で通知(ポートナンバーとIDナンバー)を送信します。ユーザは以下のアドレスに対する送信HTTPトラフィックをブロックする必要があります。

  • http://www.werde.de

・このワームのバックドアがどのような機能を持つのかは現在調査中です。おそらく、W32/Mydoom.a@MMウイルスと同じように、ほかのファイルのダウンロードおよび実行を許可する機能を持つと思われます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のようなファイル名およびレジストリキーが存在する
・TCPポート4751が開く
・http://www.werde.de に対する送信HTTPトラフィック
・ワーム実行時(ワームがGIGABIT.EXEとして実行されない場合)にMSHEARTS.EXEゲームが起動する(ファイルが存在する場合)

感染方法TOPへ戻る

・GIGABIT.EXEファイルとして、%SysDir%内にウイルス自身をインストールする

  • C:\WINNT\SYSTEM32\GIGABIT.EXE

・システムスタートアップをフックするために以下のレジストリキーが追加される。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
    "gigabit.exe" = %SysDir%\gigabit.exe
(%SysDir%は、WINDOWS SYSTEMディレクトリです。例:C:\WINNT\SYSTEM32)

・以下のレジストリキーが作成される

  • HKEY_CURRENT_USER\Software\Windows2004

・"fr1n"と"gsed"の2つの値がこのキーの中に保存される

・ワームは起動時にシステム日付を調べます。日付が2005年1月1日以降の場合、ワームは実行を終了します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Bagle.u@MMに対応しています。ダウンロードはこちら

■手動で駆除する場合の手順

  1. タスクマネージャーからGIGABIT.EXEのプロセスを終了させる

  2. 以下のレジストリキーを削除します。
    • HKEY_CURRENT_USER\Software\Windows2004
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "gigabit.exe" = %SysDir%\GIGABIT.EXE

    以下のファイルを削除します。

    • %SysDir%\GIGABIT.EXE

■McAfee Desktop Firewall
McAfee Desktop Firewallユーザは受信TCPポート2535をブロックすることで不正なリモートアクセスを防げます。