シマンテック、マカフィー、トレンドマイクロなどウイルス対策ベンダー各社は、メール添付型のウイルス「W32.Beagle.AB@mm(シマンテックの呼称、以下Beagle.AB)」を警告した。シマンテックによると危険度は“3”だが、被害状況や感染力は“高”。国内や北米で流行の兆しがあるという。なお、マカフィーとトレンドマイクロの呼称はそれぞれ「W32/Bagle.af@MM」「WORM_BAGLE.AF」となっている。
Beagle.ABは、独自のSMTPエンジンを使用して自分自身をメールで拡散するウイルス。TCPポート1080にバックドアを開き、感染したPCを“踏み台”としてメール送信に利用するのが特徴だ。Beagle.ABが添付されたメールの件名・添付ファイル名の例や、添付ファイルの拡張子は以下の通り。ウイルス自身はUPX形式で圧縮されている。
件名:(一部抜粋)
・Re: Msg reply
・Re: Hello
・Re: Yahoo!
・Re: Thank you!
・Re: Thanks :)
添付ファイル:(一部抜粋)
・Information
・Details
・text_document
・Updates
・Readme
添付ファイルの拡張子:
・.exe
・.scr
・.com
・.cpl
・.zip
Beagle.ABに感染すると、7つのミューテックスを作成。ミューテックスとは共有リソースへのアクセスを1つのスレッドのみ許可する機能で、Beagle.ABが作成したミューテックスによって「Netsky」の一部亜種の活動を阻止するという。その後レジストリを改変し、システムフォルダに自分自身をコピーする。また、「http://www.bmgs.bund.de」「http://www.gtz.de」「http://www.dwelle.de」など約140のWebサイトに接続使用するほか、「OUTPOST.EXE」「NMAIN.EXE」などのプロセスを終了する。
このほか、文字列「shar」を含むフォルダ全てに自分自身のコピーを作成。作成時に生成されるフォルダには、「Microsoft Office 2003 Crack, Working!.exe」「Microsoft Windows XP, WinXP Crack, working Keygen.exe」などの名前が付けられる。なお、システムの日付が2005年1月25日以降の場合は、活動を終了し自身のレジストリ値や特定のレジストリキーを削除する。
感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「Beagle.AB」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。
Symantec Security ResponseのOliver Friedrichsシニアマネージャは、「最近の半年で数々のBeagle亜種が発生した。しかし、Beagle.ABはそれら亜種よりも感染の拡大が早い」と警告。個人や企業に関係なく影響を与えるため、セキュリティ対策を早急に実施するよう呼びかけた。
なお、警察庁でもBeagle.ABを警告。不審なメールや添付ファイルを開封しないなど、十分に警戒するよう呼びかけている。
関連情報
■URL
W32.Beagle.AB@mm(シマンテック)
http://www.symantec.com/region/jp/sarcj/data/w/w32.beagle.ab@mm.html
W32/Bagle.af@MM(マカフィー)
http://www.mcafeesecurity.com/japan/security/virB.asp?v=W32/Bagle.af@MM
WORM_BAGLE.AF(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AF
Beagleについて(警察庁)
http://www.cyberpolice.go.jp/important/2004/20040716_112634.html
■関連記事
・ NACなど「Bagle.Z」を危険度“中”で警告~Netskyに追いつく(2004/04/27)
・ Netsky“Z”が登場~遂に全アルファベットを制覇(2004/04/23)
( 鷹木 創 )
2004/07/16 17:12
- ページの先頭へ-
|