シマンテックは、メール添付型ウイルス「W32.Beagle.AQ@mm(以下、Beagle.AQ)」を危険度“2”で警告した。被害状況、ダメージとも“低”としているが、感染力は“高”となっている。
Beagle.AQは、独自のSMTPエンジンを使用して自分自身をメールで拡散するウイルス。添付されるファイル名は「fotos.zip」で、展開するとシステムフォルダに、自身のコピーである「Doriot.exe」と、ダウンロードモジュールの「Gdqfw.exe」を作成する。ウイルスメールの件名や本文内容などは明らかにされていない。
感染すると、作成したダウンロードモジュールGdqfw.exeを利用して、Webサーバーなどから外部ソースをダウンロードするなど、「Download.ject」や「Trojan.Mitglieder」に類似する点もあるとして注意を促している。具体的には、「www.goldgates.com」「www.healthcometh.com」「www.pc-hard.com.ua」など120以上のWebサイトに接続。感染したPCのシステムフォルダに「_re_file.exe」とするファイルをダウンロードして、実行するという。
また、TCP 80番ポートとUDP 80番ポートにバックドアを開き、不正なリモートアクセスを許可する。続いて、7つのミューテックスを作成。ミューテックスとは共有リソースへのアクセスを1つのスレッドのみ許可する機能で、Beagle.AQが作成したミューテックスによって「Netsky」の一部亜種の活動を阻止するという。
さらに、「Norton Antivirus AV」「KasperskyAVEng」「Zone Labs Client Ex」などの文字列を含む値を特定のレジストリキーから削除。文字列「shar」を含むフォルダ全てに自分自身のコピーを作成する。作成時に生成されるフォルダには、「Microsoft Office 2003 Crack, Working!.exe」「Microsoft Windows XP, WinXP Crack, working Keygen.exe」などの名前が付けられる。このほか、「FIREWALL.EXE」「UPDATE.EXE」などのプロセスを終了する。
感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「Beagle.AQ」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。
関連情報
■URL
ウイルス情報(Beagle.AQ)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.beagle.aq@mm.html
■関連記事
・ ウイルス対策ベンダー各社、感染力“高”のBeagle最新亜種を警告(2004/07/16)
・ マイクロソフト、パッチ未適用のサーバーが感染する危険なコードを警告(2004/06/25)
( 鷹木 創 )
2004/09/02 14:20
- ページの先頭へ-
|