Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

機能別にコンポーネント分割されたBagleの亜種「Bagle.BE」が感染拡大


 トレンドマイクロは2日、ウイルス「Bagle.BE」が米国時間の1日ごろから感染を拡大しているとして、危険度“中”(イエローアラート)で警告した。


コンポーネント化とクライアント/サーバーアーキテクチャ

 Bagle.BEはその名の通り大量メール送信型ウイルス「Bagle」の新しい亜種にあたるが、トロイの木馬型ウイルスの「TROJ_BAGLE.BE」とワーム型ウイルスの「WORM_BAGLE.BE」の2つが存在し、それぞれ機能を分担しているのが特徴だ。

 まず、TROJ_BAGLE.BEがスパムメールの添付ファイルとしてばらまかれるが、感染してもこれ自体には感染を広げる機能はない。ただし、特定のWebサイトに接続し、感染したPCにWORM_BAGLE.BEをダウンロードする。WORM_BAGLE.BEは「smtp.earthlink.net」または自身のSMTPエンジンを使って感染を拡大する機能を備えており、TROJ_BAGLE.BEを添付したウイルスメールを大量送信するという仕組みだ。なお、TROJ_BAGLE.BEは感染したPCのレジストリを改変し、ウイルス対策ソフトを無効化したり、セキュリティ関連サイトに接続できないようhostsファイルの書き換えも行なう。

 WORM_BAGLE.BEが送信するウイルスメールは、件名が空白、本文が「price 」または「new price」のいずれかで、ZIP形式の圧縮ファイルが添付されている。圧縮ファイルにはTROJ_BAGLE.BEが含まれている。

 トレンドマイクロによると、ウイルスが機能ごとにプログラムを分割するのはこれまでにも見られたもので、Mydoomの亜種でもあったという。ウイルス作者にとって、コンポーネントごとに最新機能にアップデートできるというメリットがあるとしている。

 さらにF-Secureによると、Bagle.BEは「クライアント/サーバーアーキテクチャ」を採用しているのも特徴だ。通常のBagle亜種は、ウイルスメールの送信先となるアドレスを感染したPC内で収集するのに対して、Bagle.BEでは、DHA(Directory Harvest Attack)手法を用いてメールアドレスを生成するバックエンドサーバーもインターネット上に用意されていたという。Bagle.BEがバックエンドサーバーに接続し、50件のメールアドレスのリストを得るようになっている。


さらにBagle.BEの亜種も確認

 主なセキュリティベンダーのウイルス定義ファイルはすでにBagle.BEに対応し、感染してしまった場合でもウイルス対策ソフトや各社が無償提供している駆除ツールなどで検出できる。ただし、各社で呼称や分類が異なっていたり、トロイの木馬型/ワーム型それぞれにさらにバリエーションが確認されている模様のため、注意が必要だ。

 例えば、マカフィーではトロイの木馬型のほうを2004年11月に発見済みの「W32/Bagle.dldr」として分類、ワーム型のほうを「W32/Bagle.bn@MM」と呼んでいる。またSymantecでは、トロイの木馬型が「Trojan.Tooso」「Trojan.Tooso.B」「Trojan.Tooso.C」「Trojan.Tooso.D」、ワーム型が「W32.Beagle.BG@mm」「W32.Beagle.BH@mm」「W32.Beagle.BI@mm」「W32.Beagle.BJ@mm」として報告されている。

関連情報

URL
  トレンドマイクロの「TROJ_BAGLE.BE」情報
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BAGLE.BE
  トレンドマイクロの「WORM_BAGLE.BE」情報
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.BE
  F-Secureの公式ブログ(英文)
  http://www.f-secure.com/weblog/archives/archive-032005.html#00000487
  マカフィーの「W32/Bagle.dldr」情報
  http://www.mcafeesecurity.com/japan/security/virB2004.asp?v=W32/Bagle.dldr


( 永沢 茂 )
2005/03/02 18:35

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.