|
編集部にきた「Bagle.C」の一例。本文が「空白」であるほか、添付ファイルがZIP形式、差出人を詐称する点などが特徴だ
|
トレンドマイクロや日本ネットワークアソシエイツ(NAC)などウイルス対策ベンダー各社は27日、大量メール送信型のウイルス「Bagle.C」が流行中だとして警告した。危険度は、トレンドマイクロとNACは共に“中”と評価している。
Bagle.Cはトロイの木馬型のウイルスで、2月中旬に流行したウイルス「Bagle.B」の亜種だという。自分のコピーを添付してメールを大量に送信するほか、バックドアを仕掛けて情報漏洩を試みる。
Bagle.Cは、送信されてきても添付ファイルをクリックしなければ感染しない。万が一感染した場合には、まずWindowsのシステムファイルに以下のファイルを作成し、レジストリを改変する。
・readme.exe :ウイルス自身のコピー
・onde.exe :メール送信に使用するライブラリ
・doc.exe :DLLローダプログラム
・readme.exeopen:ウイルスメールの添付ファイル用コピー
続いて、感染したPC内の拡張子「.html」「.php」「.txt」「.wab」などからメールアドレスを収集し、自分自身のコピーを添付して送信する。送信する際の内容は以下の通り。
差出人:<詐称したアドレス>
件名:数十種類からランダムに選択
本文:空白
添付ファイル:<ランダムな文字>.zip(解凍すると、Excelのアイコンで表示)
送信後はTCPポート2745番(2745番以外の可能性もあり)を開き、外部からの接続を待つほか、外部のWebサイトに接続し、感染していることを報告するという。次に「atupdater.exe」「autoupdate.exe」「outpost.exe」などのプロセスを強制終了させる。トレンドマイクロによると、ウイルス対策ソフトやセキュリティ対策ソフトのアップデート機能の停止を狙ったものだと分析している。ただし、Bagle.Cは4月14日で活動を停止するようにプログラムされているという。
万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Bagle.C」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要がある。
関連情報
■URL
トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.C
NAC
http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.c@MM
■関連記事
・ 「ID」で始まる件名が特徴のウイルスに要注意(2004/02/18)
・ メールの件名が「Hi」だけのウイルスメールに要注意(2004/01/19)
( 大津 心 )
2004/03/01 12:54
- ページの先頭へ-
|