日本エフ・セキュアは5月31日、メールの添付ファイルで拡散するトロイの木馬型ウイルス「Bagle.BO」を警告した。エフ・セキュアのRadar Alertでは、4段階で上から2番目の“LEVEL 2”と判定されている。Klezなどのウイルスが過去にLEVEL 2で警告されている。
Bagle.BOは、感染すると自分自身をシステムディレクトリに「WINSHOST.EXE」として複製し、プロセス「Explorer.exe」に挿入される。さらに「WIWSHOST.EXE」というDLLファイルを生成する。また、Windowsが起動するたびにBagle.BOが実行されるようレジストリを改変する。
生成されたWIWSHOST.EXEは、主にダウンローダーの役割を担うが、セキュリティ対策ソフトウェアのサービスを停止する機能も持つ。HDD上から「mysuperprog.exe」を削除するほか、複数のWebサイトからファイルをダウンロードし、Windowsディレクトリに「ile.exe」として保存して実行するという。
ロシアのセキュリティベンダーであるKasperskyによれば、hostsファイルの書き換えを行ないセキュリティ情報サイトへのアクセスも妨げるという。なお、KasperskyではBagle.BOを「Email-Worm.Win32.Bagle.bo」と名付けているほか、米Symantecでは「Trojan.Tooso.I」と呼んでいる。
英MessageLabsでも、5月31日に発生したBagle亜種について警告している。同社によれば、件名、本文とも空白のYahoo! Groupsを偽装したウイルスメールで拡散しており、同日すでに70,000通を遮断した。31日15時~16時だけで遮断件数は45,769通に上ったという。
関連情報
■URL
日本エフ・セキュアのウイルス情報
http://www.f-secure.co.jp/v-descs/v-descs3/bagle-bo.htm
Kasperskyのウイルス情報(英文)
http://www.viruslist.com/en/viruses/encyclopedia?virusid=82665
Symantecのウイルス情報(英文)
http://www.symantec.com/avcenter/venc/data/trojan.tooso.i.html
MessageLabsのニュースリリース(英文)
http://www.messagelabs.com/news/detail/default.asp?contentItemId=1417
■関連記事
・ Blasterが猛威を振るったが1位はKlez~トレンドマイクロ年間ランキング(2003/12/17)
( 鷹木 創 )
2005/06/01 19:16
- ページの先頭へ-
|