|
ウイルス「Bagle.Z」の一例。例のように写真が添付されていることがある
|
日本ネットワークアソシエイツ(NAC)やシマンテック、トレンドマイクロなどのウイルス対策ベンダー各社は26日、ウイルス「Bagle.Z」を危険度“中”で警告した。すでに全世界で100件以上の報告が入っており、ヨーロッパを中心に米国や中南米でも感染報告が寄せられているという。
Bagle.Zは、ウイルス「Bagle」の亜種で自分自身のコピーをメールに添付して送信するほか、ネットワーク共有やP2Pファイル共有ソフトを利用して感染拡大を図る。また、セキュリティ対策ソフトの強制終了や、ポートを開いて外部からの接続を待つ「バックドア活動」も行なうなど、多くの機能を搭載しているのが特徴だ。
なお、このウイルスはNACでは「Bagle.Z」、シマンテックでは「Beagle.W」、トレンドマイクロでは「BAGLE.X」とベンダー各社で名称が異なるため、情報の確認時には十分な注意が必要だ。
Bagle.Zに感染すると、「Can't find a viewer associated with the file」と書かれた偽のエラーメッセージを表示する。次にWindowsのシステムフォルダに「Drvsys.exe」「Drvsys.exeopen」「Drvsys.exeopenopen」というファイル名で自分自身のコピーを作成する。またレジストリを改変し、Windows起動時に自身が自動実行されるように設定する。
その後、感染したPC内の拡張子「.htm」「.txt」などのファイルからメールアドレスを収集する。送信するメールは、送信者名や件名、メール本文、添付ファイルなどは複数の候補からランダムな組み合わせが選択されるため、一定ではない。ただし、添付ファイルの拡張子は「.com」「.cpl」「.exe」「.hta」「.scr」「.vbs」「.zip」の7種類のいずれかとなるため、このような拡張子の場合には充分な注意が必要だ。
続いて、感染したPCのローカルドライブ内から「shar」という文字列を含むフォルダを探し出し、自分自身をコピーする。また、「ANTIVIRUS.EXE」や「NDD32.EXE」「ZONEALARM.EXE」といったセキュリティ対策ソフトを強制終了し、ポート2535番を開いて外部からの接続を待つ。その際に複数のWebサイトへアクセスを試み、開いたポート番号を報告しようとする。なお、Bagle.Zはシステム時刻が2005年1月25日以降になった場合には、レジストリを削除して自身の活動を停止する。
感染した場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、システム全体をスキャンする。その後、「Bagle.Z」や「Beagle.W」「BAGLE.X」として検出されたファイルをすべて削除し、レジストリを修正する必要がある。なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にしなければならない。
|
|
ウイルス「Bagle.Z」が利用するアイコン。このアイコンの場合は、ウイルスの可能性が高いのでクリックしない方が良いだろう
|
ウイルス「Bagle.Z」を実行してしまうと表示されるエラーメッセージ。このメッセージが表示されたら、感染した可能性があるため、ウイルスチェックをすることが推奨される
|
関連情報
■URL
NAC「Bagle.Z」
http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.z@MM
シマンテック「Beagle.W」
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.beagle.w@mm.html
トレンドマイクロ「BAGLE.X」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.X&VSect=T
■関連記事
・ Netsky“Z”が登場~遂に全アルファベットを制覇(2004/04/23)
( 大津 心 )
2004/04/27 12:25
- ページの先頭へ-
|