Internet Watch logo
記事検索
最新ニュース

シマンテック、感染力が高いBagle亜種の2種類を警告


 シマンテックは27日、ワーム型ウイルス「W32.Beagle.AY@mm」(Bagle.AY)と「W32.Beagle.AZ@mm」(Bagle.AZ)を警告した。いずれも危険度は“2”だが、感染力は“高”。Windows Server 2003/XP/2000/NT/Me/98/95で感染を確認したという。

 Bagle.AYとBagle.AZは、ファイル共有ソフトなどを通じて感染を拡大し、大量のウイルスメールを送信する。感染すると「AUTOUPDATE.EXE」「FIREWALL.EXE」「mcagent.exe」といったセキュリティ関連のプロセスを停止する。また、ファイル共有ソフトに使用される可能性のある「shar」の文字列が含まれるフォルダを探し出し、ウイルス自身を複製。メールアドレスを収集し、独自SMTPでウイルスメールを送信する。メールの詳細は以下の通り。

●差出人:(詐称する)

●件名:(次のうち、いずれか)
・Delivery by mail
・Delivery service mail
・Is delivered mail
・Registration is accepted
・You are made active

●本文:(次のうち、いずれか)
・Before use read the help
・Thanks for use of our software.

●添付ファイル:(次のうち、いずれか)
・Jol03
・guupd02
・siupd02
・upd02
・viupd02
・wsd01
・zupd02

●添付ファイルの拡張子:(次のうち、いずれか)
・.com
・.cpl
・.exe
・.scr


 このほか、システムフォルダに「sysformat.exe」「sysformat.exeopen」「sysformat.exeopenopen」といったファイルを作成。さらに、「www.24-7-transportation.com」「www.DarrkSydebaby.com」「www.FritoPie.NET」など140以上のドメインにアクセスし、ダウンロードしたファイルをシステムフォルダに「re_file.exe」として保存しようとする。

 なお、シマンテックのウイルス情報によれば、Bagle.AZがBagle.AYの亜種という位置付け。異なる点としては、Bagle.AYでは、レジストリキーとして「HKEY_CURRENT_USER\Software\Microsoft\DownloadManager」と「HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager」を追加するが、Bagle.AZではこれらのレジストリキーを追加しない点などがある。


関連情報

URL
  ウイルス情報(Bagle.AY)
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.beagle.ay@mm.html
  ウイルス情報(Bagle.AZ)
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.beagle.az@mm.html


( 鷹木 創 )
2005/01/27 18:26

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.