トレンドマイクロは、トロイの木馬型ウイルス「WORM_BAGLE.AT」(以下BAGLE.AT)を危険度“中”で警告した。ダメージ度、感染力はともに“高”。日本、中国、スウェーデン、ドイツで感染報告を受けたという。ウイルスパターンファイル「2.224.00」以降で対応している。
BAGLE.ATは、「Beagle」ウイルスの亜種で、システムのプロセスに常駐して自分自身を添付したウイルスメールを送信する。メールの添付ファイルには「PRICE.CPL」「PRICE.EXE」「PRICE.SCR」「JOKE.CPL」「JOKE.COM」「JOKE.EXE」といった名称が用いられる。
トレンドマイクロによると、BAGLE.ATの詳細については現在調査中だという。ウイルスを解析次第、情報を更新するとしている。
【10/29 20時更新】
トレンドマイクロに加え、マカフィーなどウイルスベンダー各社が「BAGLE.AT」を警告。その後の解析により、詳細も判明した。トレンドマイクロによると、感染するとWindowsシステムフォルダ内にウイルス自身を複製。システム起動時にウイルスが活動するようレジストリキーを書き換えるという。
ウイルスメールを送信する際は、収集したメールアドレスのドメインからMXレコードを調べ、メール送信に使用するメールサーバーの情報を取得。送信元のメールアドレスは詐称する。メールの詳細は以下の通り。
●件名:(以下のいずれか)
Re Hello
Re Hi
Re Thank you!
Re Thanks :)
●メール本文:
:))
●添付ファイル:(以下のいずれか)
PRICE.CPL
PRICE.COM
PRICE.EXE
PRICE.SCR
JOKE.CPL
JOKE.COM
JOKE.EXE
また、P2Pファイル共有ソフトでの拡散を狙い、文字列「shared」を含むフォルダにウイルス自身を複製。複製時のファイル名は「ACDSee 9.exe」「Adobe Photoshop 9 full.exe」「Opera 8 New!.exe」「Windown Longhorn Beta Leak.exe」など。さらに、「AUTOUPDATE.EXE」「MCSHIELD.EXE」「NAVAPSVC.EXE」などセキュリティ関連ソフトのプロセスを強制的に終了。約170のURLに対してバックドア活動を行なう。このほか、「Netsky」ウイルスの活動を妨害するために、共有リソースへのアクセスを1スレッドのみ許可する機能「ミューテックス」を生成するという。
感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「BAGLE.AT」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。
関連情報
■URL
WORM_BAGLE.AT
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AT
■関連記事
・ メールやP2Pソフトを通じて感染するウイルス「Beagle.AR」が流行の兆し(2004/09/29)
( 鷹木 創 )
2004/10/29 18:37
- ページの先頭へ-
|