ウイルス情報

かかりやすさ:中

( Worm.Bagle.e )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年2月28日(土)
■感染したらどうなる
  • eメールの添付ファイルを実行して何もメッセージが表示されていないNotepad.exeファイルのウィンドウが開いたら、もう感染しています。
    その後は、パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    添付ファイルのファイル名はランダムに変化しますが、使用される拡張子は.ZIPです。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 差出人:詐称されています。
    件名:以下のいずれかになります。
     Accounts department
     Ahtung!
     Camila
     Daily activity report
     Flayers among us
     Freedom for everyone
     From Hair-cutter
     From me
     Greet the day
     Hardware devices price-list
     Hello my friend
     Hi!
     Jenny
     Jessica
     Looking for the report
     Maria
     Melissa
     Monthly incomings summary
     New Price-list
     Price
     Price list
     Pricelist
     Price-list
     Proclivity to servitude
     Registration confirmation
     The account
     The employee
     The summary
     USA government abolishes the capital punishment
     Weekly activity report
     Well...
     You are dismissed
     You really love me? he he

    本文:(本文は空欄です。)
    添付ファイル:ファイル名がランダムに変化しますが、使用される拡張子は.ZIPです。解凍するとテキストファイルのアイコンを装ったファイルが現われます。
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、以下のファイルのコピーを作成し、以下のレジストリの値を作成します。
     godo.exe
     ii455nj4.exe
     i1ru74n4.exe
     HKEY_CURRENT_USER?Software?Microsoft?Windows?
     CurrentVersion?Run "rate.exe" = C:?WINNT?SYSTEM32?i1ru74n4.exe
     HKEY_CURRENT_USER?Software?Microsoft?Windows? CurrentVersion?Run "i1ru74n4.exe" =
     C:?WINDOWS?SYSTEM?i1ru74n4.exe (Windows 98/Me)
      C:?WINNT?SYSTEM32?i1ru74n4.exe (Windows 2000)
     C:?WINDOWS?SYSTEM32?i1ru74n4.exe (Windows XP)
     HKEY_CURRENT_USER?Software?DateTime2 "frun"
     HKEY_CURRENT_USER?Software?DateTime2 "uid"
     HKEY_CURRENT_USER?Software?DateTime2 "port"
  • 以下のプログラムを強制終了します。
     ATUPDATER.EXE
     ATUPDATER.EXE
     AUPDATE.EXE
     AUTODOWN.EXE
     AUTOTRACE.EXE
     AUTOUPDATE.EXE
     AVLTMAIN.EXE
     AVPUPD.EXE
     AVWUPD32.EXE
     AVXQUAR.EXE
     CFIAUDIT.EXE
     DRWEBUPW.EXE
     ICSSUPPNT.EXE
     ICSUPP95.EXE
     LUALL.EXE
     MCUPDATE.EXE
     NUPGRADE.EXE
     NUPGRADE.EXE
     OUTPOST.EXE
     UPDATE.EXE
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
     .ADB
     .ASP
     .CFG
     .DBX
     .EML
     .HTM
     .HTML
     .MDX
     .MMF
     .NCH
     .ODS
     .PHP
     .PL
     .SHT
     .TXT
     .WAB

    しかし、以下のメールアドレスに対しては送信されません。
     @avp.
     @hotmail.com
     @microsoft
     @msn.com
     local
     noreply
     postmaster@
     root@

    ※ このウイルスは、2004年3月25日(木)に感染活動を停止するようにプログラムされています。