ウイルス情報

ウイルス名 危険度

Downloader-BAI!M711

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4943
対応定義ファイル
(現在必要とされるバージョン)
4954 (現在7628)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 CME-711
Downloader-BAI
Downloader-BAI.gen
Storm Worm
Trojan-Downloader.Win32.Agent.bet
Trojan-Downloader.Win32.Small.dam
Trojan.Peacomm
Win32/Nuwar.N@MM!CME-711
情報掲載日 2007/01/22
発見日(米国日付) 2007/01/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

-- 2007年1月21日更新 --

・この48時間に、Downloader-BAI!M711が大量にスパムとして配信されました。

・Downloader-BAI!M711は、W32/Nuwar@MM のサンプルをドロップまたはダウンロードするW32/Nuwarの新しい亜種とは異なる分類になります。

-- 2007年1月19日更新 --

・感染が拡大したため、Downloader-BAIの危険度を[低(要注意)]に変更しました。

・Downloader-BAIは大量送信されたメッセージを介して配信されるトロイの木馬です。悪質ソフトウェアの作者が管理するWebサイトからファイルをダウンロードします。

歴史

W32/NuWar@MM は2、3週間前には downloader-ARLをドロップしていました。現在、Downloader-BAIをドロップすることで、ペイロードに変化しています。W32/Nuwar@MM は“.t”という拡張子のランダムな名前で自身のコピーを作成します。その際、ディレクトリのファイルに感染します。感染したファイルは、W32/Duelと検出されます。感染のプロセス中、w32/Duel.damと検出されるよう、バイナリを汚染することが認められました。

TOPへ戻る

ウイルスの特徴

・Downloader-BAIのextra.datファイルの受信については、https://www.webimmune.net/extra/getextra.aspxを参照してください。

--- 2007年1月21日更新 --

・このトロイの木馬のいくつかの新たなスパムが存在します。新しい亜種は、W32/Nuwar@MMをドロップと以下のファイルをドロップ(作成)します。

  • %SystemDir%\peers.ini (5483バイト)
  • % SystemDir %\wincom32.sys (41728バイト) Generic Downloader.abという名前で検出
  • Downloader.ab

・また、以下のレジストリ項目を作成します。

  • Hkey_Local_Machine\System\CurrentControlSet\Services\Wincom32\Imagepath="\??\%SYSTEMDIR%\wincom32.sys"
  • Hkey_Local_Machine\System\CurrentControlSet\Services\Wincom32\displayname="wincom32"
  • Hkey_Local_Machine\System\CurrentControlSet\Services\Wincom32\start="2"
・.sysファイルは、ダウンロードのためにネットワークトラフィックを隠蔽するデバイスドライバです。

・さらに、「Game0.exe」(ウイルス定義ファイル4943以降ではDownloader-ZQ.aという名前で検出)を%SystemDir%にダウンロードします。

--- 2007年1月21日更新 --

・Downloader-BAI!M711はまた、W32/Nuwar@MM, Downloader-ZQ, Uploader-AF, Spam-Mailbotをダウンロードします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・Downloader-BAIに関連して、現在、以下の電子メールが送信されています。通常、メールは二つに分類されます

  • 件名が議論を呼んでいる世界の出来事に関するもので、詳しい情報を添付ファイルで提供するように見えるもの
  • 件名がロマンチックな愛や熱情を示し、ポストカードやグリーティングカードを添付しているように見えるもの

Subject:

 

U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
Naked teens attack home director
A killer at 11, he''s free at 21 and kill again!
British Muslims Genocide
230 dead as storm batters Europe.
Radical Muslim drinking enemies' blood.
Sadam Hussein alive!
Russian missle shot down USA satellite
Russian missle shot down USA aircraft

Russian missle shot down Chinese aircraft

Sadam Hussein safe and sound!

The commander of a U.S. nuclear submarine lunch the rocket by mistake.

Hugo Chavez dead.

Fidel Castro dead.

The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!

U.S. Southwest braces for another winter blast. More then 1000 people are dead.

Venezuelan leader: "Let''s the War Begin".

 

--- Update January 21, 2007 --

 

We Are Different

I Love You Soo Much

I Still Love You

You + Me

Passionate Kiss

Kisses, Hugs & Roses

 

Attachment:

 

Read More.exe

Full Clip.exe

Full Story.exe

Full Video.exe

Video.exe

 

--- Update January 21, 2007 --

 

Flash Postcard.exe

Greeting Card.exe

Greeting Postcard.exe

Postcard.exe

 

--- Update January 22, 2007 --

 

Subject: Love for Granted
Subject: Most Beautiful Girl
Subject: Puppy Love
Subject: Search for One
Subject: Magic of Flowers

Subject: Dinner Coupon 

 

Filename: full news.exe
Filename: read news.exe 
 

・Downloader-BAI!M711はまた、W32/Nuwar@MMをドロップし、W32/Nuwar@MM, Downloader-ZQ, Uploader-AF, Spam-Mailbotをダウンロードします。

TOPへ戻る

感染方法

・Downloader-BAIのextra.datファイルの受信については、https://www.webimmune.net/extra/getextra.aspxを参照してください。

・現在、Downloader-BAIのスパムメールが送信されています。悪質ソフトウェアの作者は、トロイの木馬を電子メールで送信し、実行させようとします。

TOPへ戻る

駆除方法

■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る