トレンドマイクロやマカフィーなどのウイルス対策ベンダー各社は10日、ウイルス「Bagle」の最新亜種「Bagle.aq」を危険度が高いとして警告した。なお、このウイルスは、トレンドマイクロでは「WORM_BAGLE.AC」、シマンテックでは「W32.Beagle.AO@mm」と呼称しているため、注意が必要だ。
Bagle.aqは、米国を中心に流行が確認されており、トレンドマイクロでは「イエローアラート」、シマンテックでは5段階中の「3」と評価して警告している。
感染すると、Bagle.aqはWindowsのシステムフォルダに自分自身を「WINDLL.EXE」「WINDLL.EXEOPEN」「WINDLL.EXEOPENOPEN」としてコピーする。次にWindowsのレジストリを改変する。続いて、感染したPC内の拡張子「.wab」や「.htm」などのファイルからメールアドレスを収集し、独自のSMTPエンジンを用いて、自身を添付したメールを送信する。その際の内容は以下の通り。
送信者(From:):詐称される
件名(Subject:):(なし)
メール本文: new price
添付ファイル:以下のいずれか
price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip
次に、「shar」という語句を含むフォルダにファイルを作成し、P2Pファイル交換ソフトでの感染を図るほか、「FIREWALL.EXE」や「UPDATE.EXE」といったセキュリティ関連ソフトなどのプロセスを終了させる。最後に複数のWebサイトからファイルのダウンロードを試みるほか、TCP 2480番ポートを開き、リモートからの接続を待機する。
万が一、Bagle.aqに感染した可能性がある場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、「Bagle.aq」や「WORM_BAGLE.AC」「W32.Beagle.AO@mm」として検出したファイルをすべて削除すればよい。また、ウイルスに改変されたレジストリを修正する必要がある。
関連情報
■URL
マカフィー「Bagle.aq」
http://www.mcafeesecurity.com/japan/security/virB.asp?v=W32/Bagle.aq@MM
シマンテック「W32.Beagle.AO@mm」
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.beagle.ao@mm.html
■関連記事
・ メールの件名が「Hi」だけのウイルスメールに要注意(2004/01/19)
( 大津 心 )
2004/08/10 12:31
- ページの先頭へ-
|