製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Bagle.fb@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4789
対応定義ファイル
(現在必要とされるバージョン)
4789 (現在7495)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Email-Worm.Worm.Win32.Bagle.fy (Kaspersky)
W32.Beagle.FF@mm (Symantec)
W32/Bagle-KL (Sophos)
WORM_BAGLE.FN (Trend)
情報掲載日2006/06/21
発見日(米国日付)2006/06/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Bagle.fb@MMはパスワード保護されたzipファイルで拡散する大量メール送信型ウイルスです。ZIPファイルと一緒にZIPのパスワードを記載した画像も感染メッセージに添付されています。パスワードを確認し、パスワードを使用してZIPファイルを開き、手動でZIPファイル内の.EXEファイルを実行しない限り感染しません。このEXEファイルはリリース済みのウイルス定義ファイルNew Malware.bという名前でプロアクティブに検出されます。

ウイルスの特徴TOPに戻る
-- 2006年6月20日更新 --

・W32/Bagle.fb@MMは圧縮された形式と圧縮されていない形式で発見されています。圧縮されていない方はW32/Bagle.dldrという名前でプロアクティブに検出されます。


・W32/Bagle.bk@MMは大量メール送信型ワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します。
  • 添付ファイルはパスワード保護されたZIPファイルです。パスワードは本文に記載されています。
  • セキュリティアプリケーションを無効にします。
  • ルートキットをドロップ(作成)します。
電子メールを介した繁殖

・詳細は以下のとおりです。

差出人:(アドレスを偽装)
件名:
  • Ales
  • Alice
  • Alyce
  • Alyce
  • Andrew
  • Androw
  • Androwe
  • Ann
  • Anna
  • Anna
  • Anne
  • Annes
  • Anthonie
  • Anthonie
  • Anthony
  • Anthonye
  • Avice
  • Avis
  • Bennet
  • Bennett
  • Christean
  • Christian
  • Constance
  • Cybil
  • Daniel
  • Danyell
  • Dorithie
  • Dorothee
  • Dorothy
  • Edmond
  • Edmonde
  • Edmund
  • Edward
  • Edwarde
  • Elizabeth
  • Elizabethe
  • Ellen
  • Ellyn
  • Emanual
  • Emanuell
  • Ester
  • Frances
  • Francis
  • Fraunces
  • Gabriell
  • Geoffraie
  • George
  • Grace
  • Harry
  • Harrye
  • Henrie
  • Henry
  • Henrye
  • Hughe
  • Humphrey
  • Humphrie
  • I love you
  • Isabel
  • Isabell
  • James
  • Jane
  • Jeames
  • Jeffrey
  • Jeffrye
  • Joane
  • Johen
  • John
  • Josias
  • Judeth
  • Judith
  • Judithe
  • Katherine
  • Katheryne
  • Leonard
  • Leonarde
  • Margaret
  • Margarett
  • Margerie
  • Margerye
  • Margret
  • Margrett
  • Marie
  • Martha
  • Mary
  • Marye
  • Michael
  • Mychaell
  • Nathaniel
  • Nathaniell
  • Nathanyell
  • Nicholas
  • Nicholaus
  • Nycholas
  • Peter
  • Ralph
  • Rebecka
  • Richard
  • Richarde
  • Robert
  • Robert
  • Roberte
  • Roger
  • Rose
  • Rycharde
  • Samuell
  • Sara
  • Sidney
  • Sindony
  • Stephen
  • Susan
  • Susanna
  • Suzanna
  • Sybyll
  • Syndony
  • Thomas
  • To the beloved
  • Valentyne
  • William
  • Winifred
  • Wynefrede
  • Wynefreed
  • Wynnefreede
本文:
  • The password is
  • Password --
  • Use password
  • Password is
  • Zip password:
  • archive password:
  • Password -
  • Password:

・上記に続けてGIFファイルの画像が表示されます。

・また、パスワードの前に以下のいずれかの語句が記載されている場合があります。

  • To the beloved
  • I love you
添付ファイル:(ランダムな名前のEXE、BIFファイルを格納)
  • Ales.zip
  • Alice.zip
  • Alyce.zip
  • Andrew.zip
  • Androw.zip
  • Androwe.zip
  • Ann.zip
  • Anna.zip
  • Anne.zip
  • Annes.zip
  • Anthonie.zip
  • Anthony.zip
  • Anthonye.zip
  • Avice.zip
  • Avis.zip
  • Avis.zip
  • Bennet.zip
  • Bennett.zip
  • Christean.zip
  • Christian.zip
  • Constance.zip
  • Cybil.zip
  • Daniel.zip
  • Danyell.zip
  • Dorithie.zip
  • Dorothee.zip
  • Dorothy.zip
  • Edmond.zip
  • Edmonde.zip
  • Edmund.zip
  • Edward.zip
  • Edwarde.zip
  • Elizabeth.zip
  • Elizabethe.zip
  • Ellen.zip
  • Ellyn.zip
  • Emanual.zip
  • Emanuel.zip
  • Emanuell.zip
  • Ester.zip
  • Frances.zip
  • Francis.zip
  • Fraunces.zip
  • Gabriell.zip
  • Geoffraie.zip
  • George.zip
  • Grace.zip
  • Harry.zip
  • Harrye.zip
  • Henrie.zip
  • Henry.zip
  • Henrye.zip
  • Hughe.zip
  • Humphrey.zip
  • Humphrie.zip
  • Isabel.zip
  • Isabell.zip
  • James.zip
  • Jane.zip
  • Jeames.zip
  • Jeffrey.zip
  • Jeffrye.zip
  • Joane.zip
  • Johen.zip
  • John.zip
  • Josias.zip
  • Judeth.zip
  • Judith.zip
  • Judithe.zip
  • Katherine.zip
  • Katheryne.zip
  • Leonard.zip
  • Leonarde.zip
  • Margaret.zip
  • Margarett.zip
  • Margerie.zip
  • Margerye.zip
  • Margret.zip
  • Margrett.zip
  • Marie.zip
  • Martha.zip
  • Mary.zip
  • Marye.zip
  • Michael.zip
  • Mychaell.zip
  • Nathaniel.zip
  • Nathaniell.zip
  • Nathanyell.zip
  • Nicholas.zip
  • Nicholaus.zip
  • Nycholas.zip
  • Peter.zip
  • Ralph.zip
  • Rebecka.zip
  • Richard.zip
  • Richarde.zip
  • Robert.zip
  • Roberte.zip
  • Roger.zip
  • Rose.zip
  • Rycharde.zip
  • Samuell.zip
  • Sara.zip
  • Sidney.zip
  • Sindony.zip
  • Stephen.zip
  • Susan.zip
  • Susanna.zip
  • Suzanna.zip
  • Sybell.zip
  • Sybyll.zip
  • Syndony.zip
  • Thomas.zip
  • Valentyne.zip
  • William.zip
  • Winifred.zip
  • Wynefrede.zip
  • Wynefreed.zip
  • Wynnefreede.zip

・W32/Bagle.fb@MMはHIDN.EXEというファイル名で以下のディレクトリに自身をコピーします。

  • C:\Documents and Settings\%User%\Application Data\hidn\hidn.exe

・また、共有する語を含むディレクトリ(とディレクトリ内のすべてのファイル)を隠すルートキットを作成します。

  • C:\Documents and Settings\%User%\Application Data\hidn\m_hook.sys ( 15360バイト )

・また、ZIPファイルのコピーと偽のエラーメッセージを作成します。

  • C:\temp.zip
  • C:\error.gif

・エラーメッセージの内容は以下のとおりです。

・システム起動時に自身を再実行するレジストリキーが作成されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "drv_st_key" = C:\Documents and Settings\%User%\Application Data\hidn\hidn.exe

・さらに、以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\firstruxzx\firstrun="1"

・セーフブートを無効にするため、以下のレジストリ項目を削除します。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Safeboot

・W32/Bagle.fb@MMは以下のファイル名を持つセキュリティプログラムのサービスを終了しようとします。

  • wuauserv
  • Aavmker4
  • ABVPN2K
  • ADBLOCK.DLL
  • ADFirewall
  • AFWMCL
  • Ahnlab task Scheduler
  • alerter
  • AlertManger
  • AntiVir Service
  • AntiyFirewall
  • ARP.DLL
  • aswMon2
  • aswRdr
  • aswTdi
  • aswUpdSv
  • Ati HotKey Poller
  • avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • AVEService
  • AVExch32Service
  • AvFlt
  • Avg7Alrt
  • Avg7Core
  • Avg7RsW
  • Avg7RsXP
  • Avg7UpdSvc
  • AvgCore
  • AvgFsh
  • AVGFwSrv
  • AvgFwSvr
  • AvgServ
  • AvgTdi
  • AVIRAMailService
  • AVIRAService
  • avpcc
  • AVUPDService
  • AVWUpSrv
  • AvxIni
  • awhost32
  • backweb client - 4476822
  • BackWeb Client - 7681197
  • backweb client-4476822
  • Bdfndisf
  • bdftdif
  • bdss
  • BlackICE
  • BsFileSpy
  • BsFirewall
  • BsMailProxy
  • CAISafe
  • ccEvtMgr
  • ccPwdSvc
  • ccSetMgr
  • ccSetMgr.exe
  • CONTENT.DLL
  • DefWatch
  • DNSCACHE.DLL
  • drwebnet
  • dvpapi
  • dvpinit
  • ewido security suite control
  • ewido security suite driver
  • ewido security suite guard
  • F-Prot Antivirus Update Monitor
  • F-Secure Gatekeeper Handler Starter
  • firewall
  • fsbwsys
  • FSDFWD
  • FSFW
  • FSMA
  • FTPFILT.DLL
  • FwcAgent
  • fwdrv
  • Guard NT
  • HSnSFW
  • HSnSPro
  • HTMLFILT.DLL
  • HTTPFILT.DLL
  • IMAPFILT.DLL
  • InoRPC
  • InoRT
  • InoTask
  • Ip6Fw
  • Ip6FwHlp
  • KAVMonitorService
  • KAVSvc
  • KLBLMain
  • KPfwSvc
  • KWatch3
  • KWatchSvc
  • MAILFILT.DLL
  • McAfee Firewall
  • McAfeeFramework
  • McShield
  • McTaskManager
  • mcupdmgr.exe
  • MCVSRte
  • Microsoft NetWork FireWall Services
  • MonSvcNT
  • MpfService
  • navapsvc
  • Ndisuio
  • NDIS_RD
  • Network Associates Log Service
  • nipsvc
  • NISSERV
  • NISUM
  • NNTPFILT.DLL
  • NOD32ControlCenter
  • NOD32krn
  • NOD32Service
  • Norman NJeeves
  • Norman Type-R
  • Norman ZANDA
  • Norton AntiVirus Server
  • NPDriver
  • NPFMntor
  • NProtectService
  • NSCTOP
  • nvcoas
  • NVCScheduler
  • nwclntc
  • nwclntd
  • nwclnte
  • nwclntf
  • nwclntg
  • nwclnth
  • NWService
  • OfcPfwSvc
  • Outbreak Manager
  • Outpost Firewall
  • OutpostFirewall
  • PASSRV
  • PAVAGENTE
  • PavAtScheduler
  • PAVDRV
  • PAVFIRES
  • PAVFNSVR
  • Pavkre
  • PavProc
  • PavProt
  • PavPrSrv
  • PavReport
  • PAVSRV
  • PCCPFW
  • PCC_PFW
  • PersFW
  • Personal Firewall
  • POP3FILT.DLL
  • PREVSRV
  • PROTECT.DLL
  • PSIMSVC
  • qhwscsvc
  • wscsvc
  • Quick Heal Online Protection
  • ravmon8
  • RfwService
  • SAVFMSE
  • SAVScan
  • SBService
  • schscnt
  • SECRET.DLL
  • SharedAccess
  • SmcService
  • SNDSrvc
  • SPBBCSvc
  • SpiderNT
  • SweepNet
  • SWEEPSRV.SYS
  • Symantec AntiVirus Client
  • Symantec Core LC
  • The_Hacker_Antivirus
  • Tmntsrv
  • TmPfw
  • tmproxy
  • tmtdi
  • tm_cfw
  • T_H_S_M
  • V3MonNT
  • V3MonSvc
  • Vba32ECM
  • Vba32ifs
  • Vba32Ldr
  • Vba32PP3
  • VBCompManService
  • VexiraAntivirus
  • VFILT
  • VisNetic AntiVirus Plug-in
  • vrfwsvc
  • vsmon
  • VSSERV
  • WinAntivirus
  • WinRoute
  • wuauserv
  • xcomm

・W32/Bagle.fb@MMは、以下のリストを使用して、実行中のプロセスを終了します。

  • a2guard.exe
  • aavshield.exe
  • AckWin32.exe
  • ADVCHK.EXE
  • AhnSD.exe
  • airdefense.exe
  • ALERTSVC.EXE
  • ALMon.exe
  • ALOGSERV.EXE
  • ALsvc.exe
  • amon.exe
  • Anti-Trojan.exe
  • AntiVirScheduler
  • AntiVirService
  • ANTS.EXE
  • APVXDWIN.EXE
  • Armor2net.exe
  • ashAvast.exe
  • ashDisp.exe
  • ashEnhcd.exe
  • ashMaiSv.exe
  • ashPopWz.exe
  • ashServ.exe
  • ashSimpl.exe
  • ashSkPck.exe
  • ashWebSv.exe
  • aswUpdSv.exe
  • ATCON.EXE
  • ATUPDATER.EXE
  • ATWATCH.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • avciman.exe
  • Avconsol.exe
  • AVENGINE.EXE
  • avgamsvr.exe
  • avgcc.exe
  • AVGCC32.EXE
  • AVGCTRL.EXE
  • avgemc.exe
  • avgfwsrv.exe
  • AVGNT.EXE
  • avgntdd
  • avgntmgr
  • AVGSERV.EXE
  • AVGUARD.EXE
  • avgupsvc.exe
  • avinitnt.exe
  • AvkServ.exe
  • AVKService.exe
  • AVKWCtl.exe
  • AVP.EXE
  • AVP32.EXE
  • avpcc.exe
  • avpm.exe
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • avsynmgr.exe
  • AVWUPD32.EXE
  • AVWUPSRV.EXE
  • AVXMONITOR9X.EXE
  • AVXMONITORNT.EXE
  • AVXQUAR.EXE
  • BackWeb-4476822.exe
  • bdmcon.exe
  • bdnews.exe
  • bdoesrv.exe
  • bdss.exe
  • bdsubmit.exe
  • bdswitch.exe
  • blackd.exe
  • blackice.exe
  • cafix.exe
  • ccApp.exe
  • ccEvtMgr.exe
  • ccProxy.exe
  • ccSetMgr.exe
  • CFIAUDIT.EXE
  • ClamTray.exe
  • ClamWin.exe
  • Claw95.exe
  • Claw95cf.exe
  • cleaner.exe
  • cleaner3.exe
  • CliSvc.exe
  • CMGrdian.exe
  • cpd.exe
  • DefWatch.exe
  • DOORS.EXE
  • DrVirus.exe
  • drwadins.exe
  • drweb32w.exe
  • drwebscd.exe
  • DRWEBUPW.EXE
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • ewidoctrl.exe
  • EzAntivirusRegistrationCheck.exe
  • F-AGNT95.EXE
  • F-PROT95.EXE
  • F-Sched.exe
  • F-StopW.EXE
  • FAMEH32.EXE
  • FAST.EXE
  • FCH32.EXE
  • FireSvc.exe
  • FireTray.exe
  • FIREWALL.EXE
  • fpavupdm.exe
  • freshclam.exe
  • FRW.EXE
  • fsav32.exe
  • fsavgui.exe
  • fsbwsys.exe
  • fsdfwd.exe
  • FSGK32.EXE
  • fsgk32st.exe
  • fsguiexe.exe
  • FSM32.EXE
  • FSMA32.EXE
  • FSMB32.EXE
  • fspex.exe
  • fssm32.exe
  • gcasDtServ.exe
  • gcasServ.exe
  • GIANTAntiSpywareMain.exe
  • GIANTAntiSpywareUpdater.exe
  • GUARD.EXE
  • GUARDGUI.EXE
  • GuardNT.exe
  • HRegMon.exe
  • Hrres.exe
  • HSockPE.exe
  • HUpdate.EXE
  • iamapp.exe
  • iamserv.exe
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • INETUPD.EXE
  • InocIT.exe
  • InoRpc.exe
  • InoRT.exe
  • InoTask.exe
  • InoUpTNG.exe
  • IOMON98.EXE
  • isafe.exe
  • ISATRAY.EXE
  • ISRV95.EXE
  • ISSVC.exe
  • JEDI.EXE
  • KAV.exe
  • kavmm.exe
  • KAVPF.exe
  • KavPFW.exe
  • KAVStart.exe
  • KAVSvc.exe
  • KAVSvcUI.EXE
  • KMailMon.EXE
  • KPfwSvc.EXE
  • KWatch.EXE
  • livesrv.exe
  • LOCKDOWN2000.EXE
  • LogWatNT.exe
  • lpfw.exe
  • LUALL.EXE
  • LUCOMSERVER.EXE
  • Luupdate.exe
  • MCAGENT.EXE
  • mcmnhdlr.exe
  • mcregwiz.exe
  • Mcshield.exe
  • MCUPDATE.EXE
  • mcvsshld.exe
  • MINILOG.EXE
  • MONITOR.EXE
  • MonSysNT.exe
  • MOOLIVE.EXE
  • MpEng.exe
  • mpssvc.exe
  • MSMPSVC.exe
  • myAgtSvc.exe
  • myagttry.exe
  • navapsvc.exe
  • NAVAPW32.EXE
  • NavLu32.exe
  • NAVW32.EXE
  • NDD32.EXE
  • NeoWatchLog.exe
  • NeoWatchTray.exe
  • NISSERV
  • NISUM.EXE
  • NMAIN.EXE
  • nod32.exe
  • nod32krn.exe
  • nod32kui.exe
  • NORMIST.EXE
  • notstart.exe
  • npavtray.exe
  • NPFMNTOR.EXE
  • npfmsg.exe
  • NPROTECT.EXE
  • NSCHED32.EXE
  • NSMdtr.exe
  • NssServ.exe
  • NssTray.exe
  • ntrtscan.exe
  • NTXconfig.exe
  • NUPGRADE.EXE
  • NVC95.EXE
  • Nvcod.exe
  • Nvcte.exe
  • Nvcut.exe
  • NWService.exe
  • OfcPfwSvc.exe
  • OUTPOST.EXE
  • PAV.EXE
  • PavFires.exe
  • PavFnSvr.exe
  • Pavkre.exe
  • PavProt.exe
  • pavProxy.exe
  • pavprsrv.exe
  • pavsrv51.exe
  • PAVSS.EXE
  • pccguide.exe
  • PCCIOMON.EXE
  • pccntmon.exe
  • PCCPFW.exe
  • PcCtlCom.exe
  • PCTAV.exe
  • PERSFW.EXE
  • pertsk.exe
  • PERVAC.EXE
  • PNMSRV.EXE
  • POP3TRAP.EXE
  • POPROXY.EXE
  • prevsrv.exe
  • PsImSvc.exe
  • QHM32.EXE
  • QHONLINE.EXE
  • QHONSVC.EXE
  • QHPF.EXE
  • qhwscsvc.exe
  • RavMon.exe
  • RavTimer.exe
  • Realmon.exe
  • REALMON95.EXE
  • Rescue.exe
  • rfwmain.exe
  • Rtvscan.exe
  • RTVSCN95.EXE
  • RuLaunch.exe
  • SAVAdminService.exe
  • SAVMain.exe
  • savprogress.exe
  • SAVScan.exe
  • SCAN32.EXE
  • ScanningProcess.exe
  • sched.exe
  • sdhelp.exe
  • SERVIC~1.EXE
  • SHSTAT.EXE
  • SiteCli.exe
  • smc.exe
  • SNDSrvc.exe
  • SPBBCSvc.exe
  • SPHINX.EXE
  • spiderml.exe
  • spidernt.exe
  • Spiderui.exe
  • SpybotSD.exe
  • SPYXX.EXE
  • SS3EDIT.EXE
  • stopsignav.exe
  • swAgent.exe
  • swdoctor.exe
  • SWNETSUP.EXE
  • symlcsvc.exe
  • SymProxySvc.exe
  • SymSPort.exe
  • SymWSC.exe
  • SYNMGR.EXE
  • TAUMON.EXE
  • TBMon.exe
  • TC.EXE
  • tca.exe
  • TCM.EXE
  • TDS-3.EXE
  • TeaTimer.exe
  • TFAK.EXE
  • THAV.EXE
  • THSM.EXE
  • Tmas.exe
  • tmlisten.exe
  • Tmntsrv.exe
  • TmPfw.exe
  • tmproxy.exe
  • TNBUtil.exe
  • TRJSCAN.EXE
  • Up2Date.exe
  • UPDATE.EXE
  • UpdaterUI.exe
  • upgrepl.exe
  • Vba32ECM.exe
  • Vba32ifs.exe
  • vba32ldr.exe
  • Vba32PP3.exe
  • VBSNTW.exe
  • vchk.exe
  • vcrmon.exe
  • VetTray.exe
  • VirusKeeper.exe
  • VPTRAY.EXE
  • vrfwsvc.exe
  • VRMONNT.EXE
  • vrmonsvc.exe
  • vrrw32.exe
  • VSECOMR.EXE
  • Vshwin32.exe
  • vsmon.exe
  • vsserv.exe
  • VsStat.exe
  • WATCHDOG.EXE
  • WebProxy.exe
  • Webscanx.exe
  • WEBTRAP.EXE
  • WGFE95.EXE
  • Winaw32.exe
  • winroute.exe
  • winss.exe
  • winssnotify.exe
  • WRADMIN.EXE
  • WRCTRL.EXE
  • xcommsvr.exe
  • zatutor.exe
  • ZAUINST.EXE
  • zlclient.exe
  • zonealarm.exe
  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE

・また、以下のファイルが実行されないようにします。

  • filtnt.sys
  • guardnt.sys
  • zonealarm.exe
  • zlclient.exe
  • zatutor.exe
  • VsStat.exe
  • Vshwin32.exe
  • Vba32PP3.exe
  • vba32ldr.exe
  • Vba32ifs.exe
  • Vba32ECM.exe
  • upgrepl.exe
  • Up2Date.exe
  • tmproxy.exe
  • TmPfw.exe
  • Tmntsrv.exe
  • symlcsvc.exe
  • spiderml.exe
  • SPBBCSvc.exe
  • SNDSrvc.exe
  • RuLaunch.exe
  • regedt32.exe
  • regedit.exe
  • Realmon.exe
  • QHPF.EXE
  • PcCtlCom.exe
  • pccguide.exe
  • outpost.exe
  • Nvcut.exe
  • Nvcte.exe
  • Nvcod.exe
  • npfmsg.exe
  • NPFMNTOR.EXE
  • nod32kui.exe
  • nod32.exe
  • NAVAPSVC.EXE
  • Mcshield.exe
  • Luupdate.exe
  • LUALL.EXE
  • KAVPF.exe
  • kavmm.exe
  • KAV.exe
  • isafe.exe
  • InoUpTNG.exe
  • InocIT.exe
  • INETUPD.EXE
  • GuardNT.exe
  • GUARDGUI.EXE
  • freshclam.exe
  • drwebupw.exe
  • drwebscd.exe
  • drweb32w.exe
  • drwadins.exe
  • CMGrdian.exe
  • ClamWin.exe
  • ClamTray.exe
  • CCSETMGR.EXE
  • CCEVTMGR.EXE
  • ccApp.exe
  • cafix.exe
  • bdswitch.exe
  • bdsubmit.exe
  • bdnews.exe
  • bdmcon.exe
  • AVWUPD32.EXE
  • Avsynmgr.exe
  • AVSCHED32.EXE
  • AVGNT.EXE
  • avgemc.exe
  • avgcc.exe
  • Avconsol.exe
  • AUPDATE.EXE
  • ashWebSv.exe
  • ashSkPck.exe
  • ashSimpl.exe
  • ashPopWz.exe
  • ashEnhcd.exe
  • ashDisp.exe
  • ashAvast.exe
  • kavsvc.exe
  • bdmcon.exe
  • vsserv.exe
  • bdnews.exe
  • livesrv.exe
  • mcupdate.exe
  • frameworkservice.exe
  • upgrader.exe
  • apvxdwin.exe
  • LuComServer_2_5.EXE
  • lucomserver_2_6.exe
  • drwebupw.exe
  • nod32krn.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記の内容と一致する送信メッセージが存在します。
  • 上記のようなファイルとレジストリキーが存在します。

感染方法TOPへ戻る
電子メールを介した繁殖

・W32/Bagle.fb@MMは自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • .jsp

・[差出人]フィールドから収集したアドレスを使用して、送信者のアドレスを偽装します。

・ただし、以下を含むアドレスには自身を送信しません。

  • rating@
  • f-secur
  • news
  • update
  • anyone@
  • bugs@
  • contract@
  • feste
  • gold-certs@
  • help@
  • info@
  • nobody@
  • noone@
  • kasp
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • sopho
  • @foo
  • @iana
  • free-av
  • @messagelab
  • winzip
  • google
  • winrar
  • samples
  • abuse
  • panda
  • cafee
  • spam
  • pgp
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@
電子メールアドレスを収集するコンポーネント

・感染マシンから収集した電子メールアドレスは以下のサイトのページにアップロードされます。

  • http://www.titanmotors.com/images/1/
  • http://veranmaisala.com/1/
  • http://wklight.nazwa.pl/1/
  • http://yongsan24.co.kr/1/
  • http://accesible.cl/1/
  • http://hotelesalba.com/1/
  • http://amdlady.com/1/
  • http://inca.dnetsolution.net/1/
  • http://www.auraura.com/1/
  • http://avataresgratis.com/1/
  • http://beyoglu.com.tr/1/
  • http://brandshock.com/1/
  • http://www.buydigital.co.kr/1/
  • http://camaramafra.sc.gov.br/1/
  • http://camposequipamentos.com.br/1/
  • http://cbradio.sos.pl/1/
  • http://c-d-c.com.au/1/
  • http://www.klanpl.com/1/
  • http://coparefrescos.stantonstreetgroup.com/1/
  • http://creainspire.com/1/
  • http://desenjoi.com.br/1/
  • http://www.inprofile.gr/1/
  • http://www.diem.cl/1/
  • http://www.discotecapuzzle.com/1/

・また、以下のサイトからファイルをダウンロードします。

  • http://ujscie.one.pl/
  • http://1point2.iae.nl/
  • http://appaloosa.no/
  • http://apromed.com/
  • http://arborfolia.com/
  • http://pawlacz.com/
  • http://areal-realt.ru/
  • http://bitel.ru/
  • http://yetii.no-ip.com/
  • http://art4u1.superhost.pl/
  • http://www.artbed.pl/
  • http://art-bizar.foxnet.pl/
  • http://www.jonogueira.com/
  • http://asdesign.cz/
  • http://ftp-dom.earthlink.net/
  • http://www.aureaorodeley.com/
  • http://www.autoekb.ru/
  • http://www.autovorota.ru/
  • http://avenue.ee/
  • http://www.avinpharma.ru/
  • http://ouarzazateservices.com/
  • http://stats-adf.altadis.com/
  • http://bartex-cit.com.pl/
  • http://bazarbekr.sk/
  • http://gnu.univ.gda.pl/
  • http://bid-usa.com/
  • http://biliskov.com/
  • http://biomedpel.cz/
  • http://blackbull.cz/
  • http://bohuminsko.cz/
  • http://bonsai-world.com.au/
  • http://bpsbillboards.com/
  • http://cadinformatics.com/
  • http://canecaecia.com/
  • http://www.castnetnultimedia.com/
  • http://compucel.com/
  • http://continentalcarbonindia.com/
  • http://ceramax.co.kr/
  • http://prime.gushi.org/
  • http://www.chapisteriadaniel.com/
  • http://charlesspaans.com/
  • http://chatsk.wz.cz/
  • http://www.chittychat.com/
  • http://checkalertusa.com/
  • http://cibernegocios.com.ar/
  • http://5050clothing.com/
  • http://cof666.shockonline.net/
  • http://comaxtechnologies.net/
  • http://concellodesandias.com/
  • http://www.cort.ru/
  • http://donchef.com/
  • http://www.crfj.com/
  • http://kremz.ru/
  • http://dev.jintek.com/
  • http://foxvcoin.com/
  • http://uwua132.org/
  • http://v-v-kopretiny.ic.cz/
  • http://erich-kaestner-schule-donaueschingen.de/
  • http://vanvakfi.com/
  • http://axelero.hu/
  • http://kisalfold.com/
  • http://vega-sps.com/
  • http://vidus.ru/
  • http://viralstrategies.com/
  • http://svatba.viskot.cz/
  • http://Vivamodelhobby.com/
  • http://vkinfotech.com/
  • http://vytukas.com/
  • http://waisenhaus-kenya.ch/
  • http://watsrisuphan.org/
  • http://www.ag.ohio-state.edu/
  • http://wbecanada.com/
  • http://calamarco.com/
  • http://vproinc.com/
  • http://grupdogus.de/
  • http://knickimbit.de/
  • http://dogoodesign.ch/
  • http://systemforex.de/
  • http://zebrachina.net/
  • http://www.walsch.de/
  • http://hotchillishop.de/
  • http://innovation.ojom.net/
  • http://massgroup.de/
  • http://web-comp.hu/
  • http://webfull.com/
  • http://welvo.com/
  • http://www.ag.ohio-state.edu/
  • http://poliklinika-vajnorska.sk/
  • http://wvpilots.org/
  • http://www.kersten.de/
  • http://www.kljbwadersloh.de/
  • http://www.voov.de/
  • http://www.wchat.cz/
  • http://www.wg-aufbau-bautzen.de/
  • http://www.wzhuate.com/
  • http://zsnabreznaknm.sk/
  • http://xotravel.ru/
  • http://ilikesimple.com/
  • http://yeniguntugla.com/

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足