製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.dv.dr
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4698
対応定義ファイル
(現在必要とされるバージョン)
4700 (現在7401)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Dropper.RF (Panda) Win32/Bagdrop.F dropper (CA) Win32/TrojanDropper.Bagle.A (ESET)
情報掲載日2006/02/23
発見日(米国日付)2006/02/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Bagle.dv.drはW32/Bagle.dv.dldrとW32/Bagle.gen@MMをドロップ(作成)するトロイの木馬ドロッパです。

・実行時、ユーザにファイルの選択を促す偽のダイアログボックスを表示してクラックします。

・ユーザが選択したファイルに関係なく、以下のメッセージボックスが表示されます。

・以下のファイルをドロップします。

%TEMP%\random filename.tmp.exe (W32/Bagle.gen@MMというファイル名で検出)
%Windir%\%SYSDIR%\anti_troj.exe (W32/Bagle.dv.dldrというファイル名で検出)
%Windir%\%SYSDIR%\winlog.exe (W32/Bagle.gen@MMというファイル名で検出)
%Windir%\%SYSDIR%\winlog.dll (W32/Bagle.gen@MMというファイル名で検出)

・Windowsの起動時にトロイの木馬を自動的に起動する以下のレジストリ項目を作成します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"anti_troj"="%Windir%\%SYSDIR%\anti_troj.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"key2 "="%Windir%\%SYSDIR%\winlog.exe"

・システムに感染したことを示すフラグとして、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\FirstRRRun "Firstun" = "1"

・一般的なセキュリティプログラムが起動しないようにします。無効にされるプログラムの一例は以下のとおりです。

ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashPopWz.exe
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
AUPDATE.EXE
Avconsol.exe
avgcc.exe
avgemc.exe
AVGNT.EXE
AVSCHED32.EXE
Avsynmgr.exe
AVWUPD32.EXE
bdmcon.exe
bdnews.exe
bdsubmit.exe
bdswitch.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
CCSETMGR.EXE
ccvrtrst.dll
ChangeServiceConfigA
ClamTray.exe
ClamWin.exe
CloseServiceHandle
CMGrdian.exe
ControlService
drwadins.exe
drweb32w.exe
drwebscd.exe
drwebupw.exe
FFJMPWEB.DLL
freshclam.exe
GUARDEVT.DLL
GUARDGUI.EXE
GUARDMSG.DLL
GuardNT.exe
IksysT32.dll
INETUPD.EXE
InocIT.exe
InoOEM.dll
InoOption.dll
InoUpTNG.exe
isafe.exe
KAV.exe
kavmm.exe
KAVPF.exe
LUALL.EXE
LUINSDLL.DLL
Luupdate.exe
Mcshield.exe
NAVAPSVC.EXE
nod32.exe
nod32api.dll
nod32kui.exe
NPFMNTOR.EXE
npfmsg.exe
Nvccf0D.dll
Nvcevlog.dll
Nvcod.exe
Nvcte.exe
Nvcut.exe
OCONNDLG.DLL
OCOOKDLG.DLL
OpenSCManagerA
OpenServiceA
outpost.exe
pccguide.exe
PcCtlCom.exe
python23.dll
QHPF.EXE
Realmon.exe
RuLaunch.exe
schface.dll
SNDSrvc.exe
SPBBCSvc.exe
spiderml.exe
symlcsvc.exe
T2w32.dll
taskmgr.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
Up2Date.exe
upgrepl.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
vbaifps.dll
vetredir.dll
Vshwin32.exe
VsStat.exe
zatutor.exe
zlclient.exe
zonealarm.exe

・ユーザがセキュリティ関連のWebサイトにアクセスできないようにします。
W32/Bagle.dv.drがブロックするサイトの一例は以下のとおりです。

avp.com
avp.ru
ca.com
clamav.net
clamwin.com
downloads-us1.kaspersky-labs.com
downloads.avira.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
drweb.com
drweb.ru
engine.awaps.net
esetsoftware.com
f-secure.com
ftp.sophos.com
go.microsoft.com
grisoft.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
securityresponse.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.anti-virus.by
www.antivir.de
www.avast.com
www.avira.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.bitdefender.com
www.bitdefender.ru
www.ca.com
www.clamav.net
www.clamwin.com
www.drweb.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.hacksoft.com.pe
www.hbedv.com
www.kaspersky-labs.com
www.kaspersky.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.open.by
www.pandasoftware.com
www.ravantivirus.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.vba32.de
www.viruslist.com
www.viruslist.ru
www2.eset.com
www3.ca.com
zak.avira.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルが存在します。

・上記のレジストリキーが存在します。

・システムパフォーマンスが悪くなります。

感染方法TOPへ戻る

・W32/Bagle.dv.drは2006年2月15日に大量送信されました。

駆除方法TOPへ戻る
・最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。AVERTは、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足