製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.dq@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4690
対応定義ファイル
(現在必要とされるバージョン)
4690 (現在7495)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Worm.Win32.Bagle.fk (Kaspersky) W32/Bagle-CF (Sophos) W32/Bagle.GT.worm (Panda) WORM_BAGLE.EF (Trend Micro)
情報掲載日2006/02/07
発見日(米国日付)2006/02/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bagle.dq@MMは、自身のSMTPエンジンを使用して、感染したコンピュータ上で収集した電子メールアドレスに自身を送信する、メール送信型ワームです。無許可のリモートアクセスが可能なバックドア機能も組み込まれています。

・実行時、Windowsのシステムディレクトリに自身のコピーを作成します。

%Windir%\%SYSDIR%\windspl.exe

・以下の値をレジストリに追加して、Windowsの起動時に自身を自動的に起動します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "DsplObjects" = "%Windir%\%SYSDIR%\windspl.exe"

・Windowsフォルダに「regisp32.exe」という名前のファイルをドロップ(作成)します。

「regisp32.exe」はダウンローダで、W32/Bagle.dqという名前で検出されます。 %Windir%\regisp32.exe

・以下のレジストリ項目を削除します。

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

・TCPポート6777上でバックドアを開き、コマンドの受信待機を行います。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
メールを介した繁殖

・感染したシステムから電子メールアドレスを収集するため、以下のファイルタイプを読み取ります。

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
メール本文

・以下の特徴を持つ電子メールメッセージを作成します。

差出人:[偽装]

件名:

Gwd: Msg reply
Gwd: Hello :-)
Gwd: Yahoo!!!
Gwd: Thank you!
Gwd: Thanks :)
Gwd: Text message
Gwd: Document
Gwd: Incoming message
Gwd: Incoming Message
Gwd: Incoming Msg
Gwd: Message Notify
Gwd: Notification
Gwd: Changes..
Gwd: Update
Gwd: Fax Message
Gwd: Protected message
Gwd: Forum notify
Gwd: Site changes
Gwd: Hi
Gwd: crypted document

本文:

Ok. Read the attach.
Ok. Your file is attached.
Ok. More info is in attach
Ok. See attach.
Ok. Please, have a look at the attached file.
Ok. Your document is attached.
Ok. Please, read the document.
Ok. Attach tells everything.
Ok. Attached file tells everything.
Ok. Check attached file for details.
Ok. Check attached file.
Ok. Pay attention at the attach.
Ok. See the attached file for details.
Ok. Message is in attach
Ok. Here is the file.

添付ファイル:(W32/Bagle.dq@MMの拡張子として.comまたは.scrを使用)

www.cumonherface
Details
XXX_livebabes
XXX_PornoUpdates
xxxporno
fuck_her
Info
Common
MoreInfo
Message

・大量送信されたメールの添付ファイルには、W32/Bagle.dq@MMのコピーが格納されており、さらに以下の文字列を含む「Description.txt」ファイルが格納されている場合があります。

you've got them already

・W32/Bagle.dq@MMは以下の文字列を含むアドレスには自身を送信しません。

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
@avp.
noreply
local
root@
postmaster@

P2Pネットワークを介した繁殖

・W32/Bagle.dq@MMは名前に「shar」という文字列を含むフォルダに自身のコピーをドロップ(作成)しても繁殖します。ドロップするコピーには以下のファイル名を使用します。

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

・以下のmutexを作成し、NETSKYの亜種が実行されないようにすると同時に、一度に1つのインスタンスのW32/Bagle.dq@MMしかコンピュータ上で実行できないようにします。

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
____--->>>>U<<<<--____
[SkyNet.cz]SystemsMutex
'D'r'o'p'p'e'd'S'k'y'N'e't'
AdmSkynetJklS003

・W32/Bagle.dq@MMの本体には以下の文字列が組み込まれています。

In a difficult world
In a nameless time
I want to survive
So, you will be mine!!

-- Bagle Author, 29.04.04, Germany.

感染方法TOPへ戻る

・W32/Bagle.dq@MMは2006年2月3日に大量送信されました。

駆除方法TOPへ戻る
・最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。AVERTは、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足