Internet Watch logo
記事検索
最新ニュース

機能別にコンポーネント分割されたBagleの亜種「Bagle.BE」が感染拡大


 トレンドマイクロは2日、ウイルス「Bagle.BE」が米国時間の1日ごろから感染を拡大しているとして、危険度“中”(イエローアラート)で警告した。


コンポーネント化とクライアント/サーバーアーキテクチャ

 Bagle.BEはその名の通り大量メール送信型ウイルス「Bagle」の新しい亜種にあたるが、トロイの木馬型ウイルスの「TROJ_BAGLE.BE」とワーム型ウイルスの「WORM_BAGLE.BE」の2つが存在し、それぞれ機能を分担しているのが特徴だ。

 まず、TROJ_BAGLE.BEがスパムメールの添付ファイルとしてばらまかれるが、感染してもこれ自体には感染を広げる機能はない。ただし、特定のWebサイトに接続し、感染したPCにWORM_BAGLE.BEをダウンロードする。WORM_BAGLE.BEは「smtp.earthlink.net」または自身のSMTPエンジンを使って感染を拡大する機能を備えており、TROJ_BAGLE.BEを添付したウイルスメールを大量送信するという仕組みだ。なお、TROJ_BAGLE.BEは感染したPCのレジストリを改変し、ウイルス対策ソフトを無効化したり、セキュリティ関連サイトに接続できないようhostsファイルの書き換えも行なう。

 WORM_BAGLE.BEが送信するウイルスメールは、件名が空白、本文が「price 」または「new price」のいずれかで、ZIP形式の圧縮ファイルが添付されている。圧縮ファイルにはTROJ_BAGLE.BEが含まれている。

 トレンドマイクロによると、ウイルスが機能ごとにプログラムを分割するのはこれまでにも見られたもので、Mydoomの亜種でもあったという。ウイルス作者にとって、コンポーネントごとに最新機能にアップデートできるというメリットがあるとしている。

 さらにF-Secureによると、Bagle.BEは「クライアント/サーバーアーキテクチャ」を採用しているのも特徴だ。通常のBagle亜種は、ウイルスメールの送信先となるアドレスを感染したPC内で収集するのに対して、Bagle.BEでは、DHA(Directory Harvest Attack)手法を用いてメールアドレスを生成するバックエンドサーバーもインターネット上に用意されていたという。Bagle.BEがバックエンドサーバーに接続し、50件のメールアドレスのリストを得るようになっている。


さらにBagle.BEの亜種も確認

 主なセキュリティベンダーのウイルス定義ファイルはすでにBagle.BEに対応し、感染してしまった場合でもウイルス対策ソフトや各社が無償提供している駆除ツールなどで検出できる。ただし、各社で呼称や分類が異なっていたり、トロイの木馬型/ワーム型それぞれにさらにバリエーションが確認されている模様のため、注意が必要だ。

 例えば、マカフィーではトロイの木馬型のほうを2004年11月に発見済みの「W32/Bagle.dldr」として分類、ワーム型のほうを「W32/Bagle.bn@MM」と呼んでいる。またSymantecでは、トロイの木馬型が「Trojan.Tooso」「Trojan.Tooso.B」「Trojan.Tooso.C」「Trojan.Tooso.D」、ワーム型が「W32.Beagle.BG@mm」「W32.Beagle.BH@mm」「W32.Beagle.BI@mm」「W32.Beagle.BJ@mm」として報告されている。


関連情報

URL
  トレンドマイクロの「TROJ_BAGLE.BE」情報
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BAGLE.BE
  トレンドマイクロの「WORM_BAGLE.BE」情報
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.BE
  F-Secureの公式ブログ(英文)
  http://www.f-secure.com/weblog/archives/archive-032005.html#00000487
  マカフィーの「W32/Bagle.dldr」情報
  http://www.mcafeesecurity.com/japan/security/virB2004.asp?v=W32/Bagle.dldr


( 永沢 茂 )
2005/03/02 18:35

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.