Internet Watch logo
記事検索
最新ニュース

本文が「new price」だけの場合は、Bagle最新亜種で危険性が高い


 トレンドマイクロやマカフィーなどのウイルス対策ベンダー各社は10日、ウイルス「Bagle」の最新亜種「Bagle.aq」を危険度が高いとして警告した。なお、このウイルスは、トレンドマイクロでは「WORM_BAGLE.AC」、シマンテックでは「W32.Beagle.AO@mm」と呼称しているため、注意が必要だ。

 Bagle.aqは、米国を中心に流行が確認されており、トレンドマイクロでは「イエローアラート」、シマンテックでは5段階中の「3」と評価して警告している。

 感染すると、Bagle.aqはWindowsのシステムフォルダに自分自身を「WINDLL.EXE」「WINDLL.EXEOPEN」「WINDLL.EXEOPENOPEN」としてコピーする。次にWindowsのレジストリを改変する。続いて、感染したPC内の拡張子「.wab」や「.htm」などのファイルからメールアドレスを収集し、独自のSMTPエンジンを用いて、自身を添付したメールを送信する。その際の内容は以下の通り。

送信者(From:):詐称される

件名(Subject:):(なし)

メール本文: new price

添付ファイル:以下のいずれか
price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip

 次に、「shar」という語句を含むフォルダにファイルを作成し、P2Pファイル交換ソフトでの感染を図るほか、「FIREWALL.EXE」や「UPDATE.EXE」といったセキュリティ関連ソフトなどのプロセスを終了させる。最後に複数のWebサイトからファイルのダウンロードを試みるほか、TCP 2480番ポートを開き、リモートからの接続を待機する。

 万が一、Bagle.aqに感染した可能性がある場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、「Bagle.aq」や「WORM_BAGLE.AC」「W32.Beagle.AO@mm」として検出したファイルをすべて削除すればよい。また、ウイルスに改変されたレジストリを修正する必要がある。


関連情報

URL
  マカフィー「Bagle.aq」
  http://www.mcafeesecurity.com/japan/security/virB.asp?v=W32/Bagle.aq@MM
  シマンテック「W32.Beagle.AO@mm」
  http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.beagle.ao@mm.html

関連記事
メールの件名が「Hi」だけのウイルスメールに要注意(2004/01/19)


( 大津 心 )
2004/08/10 12:31

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.