 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
メールやP2Pソフトを通じて感染するウイルス「Beagle.AR」が流行の兆し |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
米Symantecや米Trendmicroなどセキュリティベンダー各社は、ウイルス「W32.Beagle.AR@mm(Symantecによる呼称、以下Beagle.AR)」を警告した。Symantecでは危険度を“2”、感染力を“高”と設定した。なお、Trendmicroでは「WORM_BAGLE.AM」、マカフィーでは「W32/Bagle.az@MM」と呼称している。 Beagle.ARは、独自のSMTPエンジンを使用して自分自身をメールで拡散するウイルス。添付されるファイル名は「price.exe」「Joke.scr」などで、メールの件名は「Re:」「Re: Hello」など、本文は「:)」「:)))」。なお、差出人のアドレスは詐称する。 感染すると、自分自身を「bawindo.exe」としてWindowsのシステムフォルダに保存。レジストリキー「HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "bawindo" = "C:\WINDOWS\SYSTEM32\bawindo.exe"」を追加する。 また、TCP 81番ポートとUDP 81番ポートにバックドアを開き、不正なリモートアクセスを許可する。続いて、7つのミューテックスを作成。ミューテックスとは共有リソースへのアクセスを1つのスレッドのみ許可する機能で、Beagle.ARが作成したミューテックスによってNetskyの一部亜種の活動を阻止する。 さらに、文字列「shar」を含むフォルダに「Microsoft Office 2003 Crack, Working!.exe」「Opera 8 New!.exe」「WinAmp 6 New!.exe」「Adobe Photoshop 9 full.exe」などのファイルを作成する。マカフィーによると、KazaaやBearshareなどのP2Pファイル共有ソフトのフォルダに文字列「shar」が利用されているという。 このほか、「FIREWALL.EXE」などのプロセスを終了する。また、あらかじめ設定された複数のWebサイトと接続する機能も搭載しているが、Symantecによれば設定されたサイトは「現時点では実在しない」としている。 感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「Beagle.AR」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。 関連情報 ■URL ウイルス情報(Symantec、英文) http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ar@mm.html ウイルス情報(Trendmicro、英文) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AM ウイルス情報(マカフィー) http://www.mcafeesecurity.com/japan/security/virB.asp?v=W32/Bagle.az@MM ■関連記事 ・ Download.jectと同様に外部ソースをダウンロードする「Beagle.AQ」(2004/09/02)
( 鷹木 創 )
- ページの先頭へ-
|
