・W32/Bagle@MMは大量メール送信型ワームで、リモートアクセスコンポーネントがあります。以下のような電子メールメッセージで届きます。
差出人:(偽装アドレスが使われる可能性があります。)
件名:Hi
本文:
Test =)
(ランダムな文字)
--
Test, yep.
添付ファイル:(ランダムなファイル名)15,872バイト
例:
frjujs.exe
・添付ファイルが実行されると、W32/Bagle@MMはWindowsの計算機プログラム(CALC.EXE)を実行します。同時に、WINDOWS SYSTEMディレクトリ(%SysDir%)にbbeagle.exeというファイル名で自身をコピーし、システムの起動時に自身を読み込むように以下のレジストリキーを作成します。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
・以下のレジストリキーも追加します。
- HKEY_CURRENT_USER\Software\Windows98 "frun"
- HKEY_CURRENT_USER\Software\Windows98 "uid"
大量メール送信コンポーネント
・W32/Bagle@MMは以下のファイルから電子メールアドレスを収集して、自身のSMTPエンジンを使用してこれらの宛先に自身を送信します。
・W32/Bagle@MMはFROMフィールドから検出されたアドレスを利用して差出人アドレスを改ざんします。W32/Bagle@MMが送る一番最初のメールではあて先と差出人に同じアドレスが使われます。2通目のメールでは、差出人は同じままであて先に異なるメールアドレスが使われます。3通目のメールになると、あて先に3番目のメールアドレス、差出人に2通目で使われたあて先メールアドレスが使われ、4通目以降もこの例にならいます。
・W32/Bagle@MMは以下の文を含むメールアドレスには大量メール送信をしません。
- @hotmail.com
- @msn.com
- @microsoft
- @avp.
リモートアクセスコンポーネント
・W32/Bagle@MMは、リモート接続の有無をTCPポート6777で聴取します。さまざまなWebサイトにアクセスしたり、リモートサイトにあるPHPスクリプトを呼び出して、コマンドを待機している感染システムを作成者に通知しようとします。この情報掲載時点では、問題のスクリプトは以下のサイトには存在しませんでした。
- www.elrasshop.de
- www.it-msc.de
- www.getyourfree.net
- www.dmdesign.de
- 64.176.228.13
- www.leonzernitsky.com
- 216.98.136.248
- 216.98.134.247
- www.cdromca.com
- www.kunst-in-templin.de
- vipweb.ru
- antol-co.ru
- www.bags-dostavka.mags.ru
- www.5x12.ru
- bose-audio.net
- www.sttngdata.de
- wh9.tu-dresden.de
- www.micronuke.net
- www.stadthagen.org
- www.beasty-cars.de
- www.polohexe.de
- www.bino88.de/1.php
- www.grefrathpaenz.de
- www.bhamidy.de
- www.mystic-vws.de
- www.auto-hobby-essen.de
- www.polozicke.de
- www.twr-music.de
- www.sc-erbendorf.de
- www.montania.de
- www.medi-martin.de
- vvcgn.de
- www.ballonfoto.com
- www.marder-gmbh.de
- www.dvd-filme.com
- www.smeangol.com
