Internet Watch logo
記事検索
最新ニュース

メールやP2Pソフトを通じて感染するウイルス「Beagle.AR」が流行の兆し


 米Symantecや米Trendmicroなどセキュリティベンダー各社は、ウイルス「W32.Beagle.AR@mm(Symantecによる呼称、以下Beagle.AR)」を警告した。Symantecでは危険度を“2”、感染力を“高”と設定した。なお、Trendmicroでは「WORM_BAGLE.AM」、マカフィーでは「W32/Bagle.az@MM」と呼称している。

 Beagle.ARは、独自のSMTPエンジンを使用して自分自身をメールで拡散するウイルス。添付されるファイル名は「price.exe」「Joke.scr」などで、メールの件名は「Re:」「Re: Hello」など、本文は「:)」「:)))」。なお、差出人のアドレスは詐称する。

 感染すると、自分自身を「bawindo.exe」としてWindowsのシステムフォルダに保存。レジストリキー「HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "bawindo" = "C:\WINDOWS\SYSTEM32\bawindo.exe"」を追加する。

 また、TCP 81番ポートとUDP 81番ポートにバックドアを開き、不正なリモートアクセスを許可する。続いて、7つのミューテックスを作成。ミューテックスとは共有リソースへのアクセスを1つのスレッドのみ許可する機能で、Beagle.ARが作成したミューテックスによってNetskyの一部亜種の活動を阻止する。

 さらに、文字列「shar」を含むフォルダに「Microsoft Office 2003 Crack, Working!.exe」「Opera 8 New!.exe」「WinAmp 6 New!.exe」「Adobe Photoshop 9 full.exe」などのファイルを作成する。マカフィーによると、KazaaやBearshareなどのP2Pファイル共有ソフトのフォルダに文字列「shar」が利用されているという。

 このほか、「FIREWALL.EXE」などのプロセスを終了する。また、あらかじめ設定された複数のWebサイトと接続する機能も搭載しているが、Symantecによれば設定されたサイトは「現時点では実在しない」としている。

 感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「Beagle.AR」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。


関連情報

URL
  ウイルス情報(Symantec、英文)
  http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ar@mm.html
  ウイルス情報(Trendmicro、英文)
  http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AM
  ウイルス情報(マカフィー)
  http://www.mcafeesecurity.com/japan/security/virB.asp?v=W32/Bagle.az@MM

関連記事
Download.jectと同様に外部ソースをダウンロードする「Beagle.AQ」(2004/09/02)


( 鷹木 創 )
2004/09/29 12:18

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.