 |
 |
記事検索 |
最新ニュース |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
本文空白で添付ファイルにExcelファイルを装うウイルス「Bagle.C」 |
||||||||||
|
||||||||||
|
~感染後はウイルス対策ソフトなどのアップデート機能停止を狙う
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
Bagle.Cはトロイの木馬型のウイルスで、2月中旬に流行したウイルス「Bagle.B」の亜種だという。自分のコピーを添付してメールを大量に送信するほか、バックドアを仕掛けて情報漏洩を試みる。 Bagle.Cは、送信されてきても添付ファイルをクリックしなければ感染しない。万が一感染した場合には、まずWindowsのシステムファイルに以下のファイルを作成し、レジストリを改変する。 ・readme.exe :ウイルス自身のコピー ・onde.exe :メール送信に使用するライブラリ ・doc.exe :DLLローダプログラム ・readme.exeopen:ウイルスメールの添付ファイル用コピー 続いて、感染したPC内の拡張子「.html」「.php」「.txt」「.wab」などからメールアドレスを収集し、自分自身のコピーを添付して送信する。送信する際の内容は以下の通り。 差出人:<詐称したアドレス> 件名:数十種類からランダムに選択 本文:空白 添付ファイル:<ランダムな文字>.zip(解凍すると、Excelのアイコンで表示) 送信後はTCPポート2745番(2745番以外の可能性もあり)を開き、外部からの接続を待つほか、外部のWebサイトに接続し、感染していることを報告するという。次に「atupdater.exe」「autoupdate.exe」「outpost.exe」などのプロセスを強制終了させる。トレンドマイクロによると、ウイルス対策ソフトやセキュリティ対策ソフトのアップデート機能の停止を狙ったものだと分析している。ただし、Bagle.Cは4月14日で活動を停止するようにプログラムされているという。 万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Bagle.C」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要がある。 関連情報 ■URL トレンドマイクロ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.C NAC http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.c@MM ■関連記事 ・ 「ID」で始まる件名が特徴のウイルスに要注意(2004/02/18) ・ メールの件名が「Hi」だけのウイルスメールに要注意(2004/01/19)
( 大津 心 )
- ページの先頭へ-
|
