米Symantecや米Trendmicroなどセキュリティベンダー各社は、ウイルス「W32.Beagle.AR@mm(Symantecによる呼称、以下Beagle.AR)」を警告した。Symantecでは危険度を“2”、感染力を“高”と設定した。なお、Trendmicroでは「WORM_BAGLE.AM」、マカフィーでは「W32/Bagle.az@MM」と呼称している。
Beagle.ARは、独自のSMTPエンジンを使用して自分自身をメールで拡散するウイルス。添付されるファイル名は「price.exe」「Joke.scr」などで、メールの件名は「Re:」「Re: Hello」など、本文は「:)」「:)))」。なお、差出人のアドレスは詐称する。
感染すると、自分自身を「bawindo.exe」としてWindowsのシステムフォルダに保存。レジストリキー「HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "bawindo" = "C:\WINDOWS\SYSTEM32\bawindo.exe"」を追加する。
また、TCP 81番ポートとUDP 81番ポートにバックドアを開き、不正なリモートアクセスを許可する。続いて、7つのミューテックスを作成。ミューテックスとは共有リソースへのアクセスを1つのスレッドのみ許可する機能で、Beagle.ARが作成したミューテックスによってNetskyの一部亜種の活動を阻止する。
さらに、文字列「shar」を含むフォルダに「Microsoft Office 2003 Crack, Working!.exe」「Opera 8 New!.exe」「WinAmp 6 New!.exe」「Adobe Photoshop 9 full.exe」などのファイルを作成する。マカフィーによると、KazaaやBearshareなどのP2Pファイル共有ソフトのフォルダに文字列「shar」が利用されているという。
このほか、「FIREWALL.EXE」などのプロセスを終了する。また、あらかじめ設定された複数のWebサイトと接続する機能も搭載しているが、Symantecによれば設定されたサイトは「現時点では実在しない」としている。
感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「Beagle.AR」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。
関連情報
■URL
ウイルス情報(Symantec、英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ar@mm.html
ウイルス情報(Trendmicro、英文)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AM
ウイルス情報(マカフィー)
http://www.mcafeesecurity.com/japan/security/virB.asp?v=W32/Bagle.az@MM
■関連記事
・ Download.jectと同様に外部ソースをダウンロードする「Beagle.AQ」(2004/09/02)
( 鷹木 創 )
2004/09/29 12:18
- ページの先頭へ-
|