製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.dt@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4696
対応定義ファイル
(現在必要とされるバージョン)
4696 (現在7498)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Email-Worm.Win32.Bagle.fo (Kaspersky)
W32.Beagle.DR@mm (Symantec)
W32/Bagle-CM (Sophos)
WORM_BAGLE.EV (Trend Micro)
情報掲載日2006/02/17
発見日(米国日付)2006/02/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/12Generic.tfr!...
07/12RDN/Generic....
07/12Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7498
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bagle.dt@MMは、ウイルス定義ファイル4694以降では、W32/Salityという名前でプロアクティブに検出されます。分析によれば、W32/Bagle.dtはW32/Sality.oに感染したW32/Bagleの亜種です。

・W32/Bagle.dt@MMは、自身のSMTPエンジンを使用して、感染したコンピュータ上で収集した電子メールアドレスに自身を送信する、トロイの木馬型ダウンローダ兼メール送信型ワームです。無許可のリモートアクセスが可能なバックドア機能も組み込まれています。

・実行時、以下の偽のエラーメッセージを表示します。

・Windowsのシステムディレクトリに自身のコピーを作成します。

%Windir%\%SYSDIR%\lsamgr.exe (W32/Bagle.dt@MMのコピー)
%Windir%\%SYSDIR%\lsamgr.exeopen (W32/Bagle.dt@MMのコピーと意味のないコード)
%Windir%\%SYSDIR%\lsamgr.exeopenopen (W32/Bagle.dt@MMのコピーと意味のないコード)
%Windir%\Wimanager.exe (W32/Bagle.dtという名前で検出されるダウンローダ)

・以下の値をレジストリに追加して、Windowsの起動時に自身を自動的に起動します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "LsaManager"="%Windir%\%SYSDIR%\lsamgr.exe "

・レジストリサブキーから以下の値を削除しようとします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

・以下のURLから自身の更新版をダウンロードしようとします。

http://dook.zoo.by/zorg[削除]/get.php
http://debut.zoo.com/zorg[削除]/get.php
http://myphotokool.ferro.com/zorg[削除]/get.php
http://ijj.t2035.com/zorg[削除]/get.php
http://209.11.85.20/.%20/pr[削除]/get.php

注: このウイルス情報の作成時、リモートサイトから移動または削除されていたため、ファイルのダウンロードは確認できませんでした。

・TCPポート6777上でバックドアを開き、コマンドの受信待機を行います。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
メールを介した繁殖

・感染したシステムから電子メールアドレスを収集するため、以下のファイルタイプを読み取ります。

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

メール本文

・以下の特徴を持つ電子メールメッセージを作成します。

差出人:[偽装]

件名:(以下のいずれか)

FREE OLYMPIC TICKETS LOTTERY!
2006 Winter Games in Torino
2006 Torino Winter Games FREE Tickets

本文:(以下のいずれか)

Our company (TicketWorld) is the world's largest supplier of tickets to all major international events including the 2006 Winter Games and 2006 Torino Tickets. We sell tickets to every sporting event in Torino including the preliminary competitions as well as Olympic Finals tickets. You can order Winter Games tickets for all categories for every match. All Winter Games tickets are guaranteed 200%.

All ticket prices are in US Currency ($).

OPEN ATTACHMENT ARCHIVE TO GET INFORMATION HOW TO OBTAIN A FREE TOCKET.

Please call our United States office at +1.512.4{非表示}.5797 or from the United Kingdom 0800.7{非表示}.0819 if you have questions.

========================================

The Torino Winter games will be the most celebrated Olympics of our era. If you are looking to witness this historic event for yourself, look no further. SuperTicketing Premium Seating is your source for Olympics tickets. We have access to tickets for nearly every Olympic event from Opening to Closing Ceremonies, Curling to Figure Skating.

FREE TICKECKS AVAILABLE NOW ON LOTTERY BASIS. CHECK ATTACHED FILE.

DISCLAIMER
TickCo Premium Seating buys and resells tickets on the secondary market at above face value. Our prices can be substantially higher than the original ticket price, as they reflect the cost of obtaining premium seating. Any trademarked terms that appear on this page are used for descriptive purposes only.

========================================

Attention: you recieved free ticket invitation with attachment!

Coast to Coast Tickets provides the most comprehensive inventory of Opening Ceremony tickets available on the secondary market. If the Opening Ceremony tickets you are looking for are not available, please check back as our inventory is constantly updated. Orders for Opening Ceremony tickets that are no longer available will be cancelled or substituted at the customer's discretion. All Opening Ceremony tickets are shipped via Federal Express.

If you would like to attend a Opening Ceremony event to see athletes live, or to see a team schedule and information, Coast to Coast Tickets is your source. All it takes is a phone call or a few clicks of the mouse to buy Opening Ceremony tickets. We offer a wide selection of Winter Games tickets for all teams, and we are happy to provide information about schedules at any time.

========================================

添付ファイル:(以下のいずれか)

Generated_bill.exe
Order_details.exe
Service_receipt.exe

・W32/Bagle.dt@MMは以下の文字列を含むアドレスには自身を送信しません。

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
@avp.
noreply
local
root@
postmaster@

P2Pネットワークを介した繁殖

・W32/Bagle.dt@MMは名前に「shar」という語句を含むフォルダ(KaZaa、Bearshare、Limewireなど一般的なピアツーピアアプリケーションのフォルダ)に自身をコピーします。ユーザにこれらのファイルをダウンロードさせて実行させるため、W32/Bagle.dt@MMは人気のあるアプリケーションやポルノの名前をドロップ(作成)したコピーに使用します。

anna benson sex video.exe
kate beckinsale nude pictures.exe
jenna elfman sex anal deepthroat
miss america Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
barrett jackson nude photos, movies, porn video.exe
Britney Spears sex photos.exe
paris hilton Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 10.exe
Windown Vista Beta Leak.exe
IE beta 7.exe
Serials 2005 database.exe
XXX hardcore images.exe
Adobe Photoshop 9 full.exe

・以下のmutexを作成し、NETSKYの亜種が実行されないようにします。

同時に、一度に1つのインスタンスのW32/Bagle.dt@MMしかコンピュータ上で実行できないようにします。

____--->>>>U<<<<--____
AdmSkynetJklS003
'D'r'o'p'p'e'd'S'k'y'N'e't'
[SkyNet.cz]SystemsMutex
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

・さらに、W32/Bagle.dt@MMはダウンロードルーチンをサポートする以下のmutexを作成します。

bagla_super_downloader_1000
smtp_bagla_1000

・W32/Bagle.dt@MMの本体には以下の文字列が組み込まれています。

In a difficult worl
d In a nameless time
I want to survive
So, you will be mine!!

-- Bagle Author, 29.04.04, Germany.

感染方法TOPへ戻る

・W32/Bagle.dt@MMは2006年2月14日に大量送信されました。

駆除方法TOPへ戻る
・最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。AVERTは、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足