Internet Watch logo
記事検索
最新ニュース

マカフィー、ソースコードを添付して送信するウイルス「Bagle.ad」警告


感染時に表示されることが多いエラーメッセージの一例。このメッセージに見覚えがある場合は、感染の疑いがあるといえる
 マカフィーやトレンドマイクロは6日、日本、韓国、台湾、米国などで感染が拡大しているとして、ウイルス「Bagle.ad」を危険度“中”で警告した。トレンドマイクロでは、感染報告数や感染力も“中”と評価している。

 Bagle.adは、ウイルス「Bagle」の亜種で自分自身のコピーを任意のアドレスに添付して送信するタイプのウイルスだ。送信時に拡張子「.cpl」を使う点が特徴で、ZIP形式で圧縮したソースコードを添付するケースもある。

 Bagle.adに感染すると、ファイル名が「loader_name.exe」である場合を除き、「Can't find a viewer associated with the file」と記したエラーメッセージが表示される。エラーメッセージを表示している間に、自分自身のコピーをWindowsのシステムフォルダ内にコピーし、レジストリを改変する。

 次に、バックドアを作成し、感染PCの情報漏洩を図る。続いて、「.htm」や「.txt」「.wab」などの拡張子のファイルを検索してメールアドレスを収集し、自分自身のコピーを添付して送信する。送信時には、送信アドレスを詐称するほか、件名やメール本文、添付ファイル名などは複数の候補からランダムに選ぶため、一定ではない。特徴は、自身のソースコードを「SOURCES.ZIP」というパスワード付き圧縮ファイルにまとめて添付する場合がある点だ。

 マカフィーでは、ソースコードが添付されていることから、このソースコードを使用した亜種が発生する可能性があると警告している。亜種はほとんどBagle.adと差がない状態で発生すると予測されているが、同社では「有効期日」や「バックドアが使用するポートの番号」などが変更される可能性があるとして、注意を促している。

 そのほかにも、「shar」という文字列を含むフォルダすべてに自分自身のコピーを作成し、Kazaaなどのファイル交換ソフトでの感染拡大を図る。また、ウイルス「Netsky」が利用するレジストリを削除し、Netskyの活動を妨害するような行為も行なう。

 Bagle.adへの感染の疑いがある場合には、ウイルス対策ソフトの定義ファイルを最新版に更新し、「Bagle.ad」として検出されたファイルをすべて削除するほか、改変されたレジストリを修正する必要がある。また、トレンドマイクロでは、修復サービス「トレンドマイクロ ダメージクリーンナップサービス」にて、Bagle.adを無料で修復可能だという。


関連情報

URL
  マカフィー「Bagle.ad」
  http://www.mcafeesecurity.com/japan/security/virB.asp?v=W32/Bagle.ad@MM
  トレンドマイクロ「Bagle.ad」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AD


( 大津 心 )
2004/07/06 13:54

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.