Internet Watch logo
記事検索
最新ニュース

本文空白で添付ファイルにExcelファイルを装うウイルス「Bagle.C」

~感染後はウイルス対策ソフトなどのアップデート機能停止を狙う

編集部にきた「Bagle.C」の一例。本文が「空白」であるほか、添付ファイルがZIP形式、差出人を詐称する点などが特徴だ
 トレンドマイクロや日本ネットワークアソシエイツ(NAC)などウイルス対策ベンダー各社は27日、大量メール送信型のウイルス「Bagle.C」が流行中だとして警告した。危険度は、トレンドマイクロとNACは共に“中”と評価している。

 Bagle.Cはトロイの木馬型のウイルスで、2月中旬に流行したウイルス「Bagle.B」の亜種だという。自分のコピーを添付してメールを大量に送信するほか、バックドアを仕掛けて情報漏洩を試みる。

 Bagle.Cは、送信されてきても添付ファイルをクリックしなければ感染しない。万が一感染した場合には、まずWindowsのシステムファイルに以下のファイルを作成し、レジストリを改変する。

・readme.exe :ウイルス自身のコピー
・onde.exe :メール送信に使用するライブラリ
・doc.exe :DLLローダプログラム
・readme.exeopen:ウイルスメールの添付ファイル用コピー

 続いて、感染したPC内の拡張子「.html」「.php」「.txt」「.wab」などからメールアドレスを収集し、自分自身のコピーを添付して送信する。送信する際の内容は以下の通り。

差出人:<詐称したアドレス>
件名:数十種類からランダムに選択
本文:空白
添付ファイル:<ランダムな文字>.zip(解凍すると、Excelのアイコンで表示)

 送信後はTCPポート2745番(2745番以外の可能性もあり)を開き、外部からの接続を待つほか、外部のWebサイトに接続し、感染していることを報告するという。次に「atupdater.exe」「autoupdate.exe」「outpost.exe」などのプロセスを強制終了させる。トレンドマイクロによると、ウイルス対策ソフトやセキュリティ対策ソフトのアップデート機能の停止を狙ったものだと分析している。ただし、Bagle.Cは4月14日で活動を停止するようにプログラムされているという。

 万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Bagle.C」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要がある。


関連情報

URL
  トレンドマイクロ
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.C
  NAC
  http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.c@MM

関連記事
「ID」で始まる件名が特徴のウイルスに要注意(2004/02/18)
メールの件名が「Hi」だけのウイルスメールに要注意(2004/01/19)


( 大津 心 )
2004/03/01 12:54

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.