ソースネクスト株式会社(本社:東京都中央区新川1-3-3 代表取締役社長:松田憲幸)は、
2002年10月4日(金)、ウイルス「W32/Bugbear@MM(バグベアー)」の危険度を「高」に 引き上げて注意を喚起しています。
同社のセキュリティ対策ソフト「McAfee.com ウイルススキャンオンライン」の世界ウイルス地図機能 によると、過去24時間(日本時間:10月3日(木)15:00-4日(金)15:00)以内に世界中で感染している
ウイルス数は、1位の「 W32/Klez.h@MM(クレズ)」に次いで「W32/Bugbear@MM(バグベアー)」が 2位となっています。
【世界のウイルス数ランキング】
エリア : 世界中
期間 : 日本時間:10月3日(木)15:00から4日(金)15:00までの24時間
種別 : 感染しているコンピューター数
1位 W32/Klez.h@MM
2位 W32/Bugbear@MM
3位 JS/NoClose
4位 JS/IEStart.gen.c
5位 Exploit/MIME-gen.exe
6位 W32/Klez.eml
7位 W32/Opaserv.worm
8位 JS/Seeker.gen.e
9位 PWS-Hooker.dll
10位 BackDoor-ALB
※「McAfee.com ウイルススキャンオンライン」世界ウイルス地図機能より
【Bugbearウイルス概要】
Bugbearウイルスは、2002/9/30 (米国時間)にマレーシアで発見されました。
このメール大量送信型ワームはEメールとネットワーク共有を使って感染を広げます。 Eメールは、プレビューするだけで感染する可能性があります。
Microsoft InternetExplorer5.01または5.5(SP2なし)をお使いの方は Microsoftのページより
修正プログラムをダウンロードし、インストールしてください。また、Eメールの「差出人」を 偽装することがあります。パソコン内のアドレスを使われる場合もありますので注意が必要です。
このウイルスは、「トロイの木馬」と呼ばれるハッキングツールをパソコンにインストールします。 このトロイの木馬には、キーボードで打ったキーを記録する特徴があるので、パスワードや
クレジットカードの番号などの情報が盗まれる危険があります。また、ウイルス対策ソフトや ファイアウォールが正常に機能しなくなることがあります。
【感染した場合の症状】
- パソコン内のEメールアドレスにウイルスメールを勝手に送信します。
- パスワードやカード番号といった重要情報が盗まれる(ハッキングされる)危険性が高くなります。
- ウイルス対策ソフトやファイアウォールが正常に動作しなくなることがあります。
- ウイルスが持つファイルの内容を、全てのネットワークプリンターから印刷し始める事があります。
【このウイルス情報に関する報道関係者様のお問い合わせ先】
担当:広報・宣伝チーム 太田 滋 (マカフィー・ドットコムシリーズ、携快電話、速シリーズ担当)
Tel:03-3551-5590 Fax:03-3551-7401
e-mail: sohta@sourcenext.com
/ pr@sourcenext.com
【マカフィー・ドットコム各製品概要】
http://www.sourcenext.info/mcafee/
【McAfee.comウイルススキャンオンラインをお持ちの方へ】
McAfee.comウイルススキャンオンラインでは既にこのウイルスに
対応済みです。 ウイルス定義ファイルの更新を行なってください。
【アップデート方法】
- 画面右下のタスクトレイ上のMアイコンをダブルクリックし、「McAfee.com セキュリティ・センター」を起動します。
- 画面上の「アップデート」ボタンをクリックします。
- 次の画面の「今すぐ確認する」をクリックします。
- アップデートがお済みでない場合は、アップデートを開始する画面が表示されます。
アップデートがお済みの場合は、「ご使用のMcAfee.com製品は、すべて最新です。」と表示されます。
なお、上記の方法でアップデートできない場合は、こちらをご覧ください。
【詳細情報】
このウイルスは、次のような電子メールで届きます。
件名
以下のものが確認されています。これ以外にもランダムに件名がつけられることがあります。
Found
150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
Hello!
history screen
hotmail.
I need help about script
Interesting
Introduction
its easy
Just a reminder
Lost
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help
Report
SCAM alert
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
本文
メール本文は一定ではありません。 また受信者のシステム内のファイル断片によって構成されている場合もあります。
添付ファイル
以下のような文字列を含んでいる場合があります。
Card
Docs
image
images
music
news
photo
pics
readme
resume
Setup
song
video
感染の特徴
-
パソコン内に以下のファイルが存在する(*はランダムな文字)
%WinDir%トSystem\****.EXE (ファイルサイズは50,688 もしくは 50,684 バイト)
%WinDir%\******.DAT
%WinDir%\******.DAT
%WinDir%\System\******.DLL
%WinDir%\System\*******.DLL
%WinDir%\System\*******.DLL
- 36974番ポート が空いている
このウイルスは、次のような動作をすることが分かっています。
- まず、自分自身を%WinDir%\Systemにコピーします。ファイル名は、「(ランダムな文字).EXE」と 付けられます。例えば、次のようなものがあります。
Win98 : C:\WINDOWS\SYSTEM\FYFA.EXE
2k Pro : C:\WINNT\SYSTEM32\FVFA.EXE
- また、次のレジストリが書き加えられます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RunOnce "%random letters%" = %random filename%.EXE (Win9x)
- スタートアップフォルダに、自分自身を「(ランダムな文字).EXE」というファイル名で保存します。 例えば、次のようなものがあります。
Win98 : C:\WINDOWS\Start Menu\Programs\Startup\CUK.EXE
2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\CYC.EXE
このウイルスは、パソコン内のアドレスを用いて差出人を偽装することができます。
また、2つのアドレスを結合させて、偽装アドレスを作成することもあります。
例:name1@domain1.com + name2@domain2.com = name1@domain2.com
このウイルスによる「トロイの木馬」は次のような特徴を持っています。
- 主だったウイルス対策ソフトやパーソナルファイアウォールを停止させます。
- ハッカーが攻撃対象のパソコンに、ファイルを送ったり、盗んだり、プログラムを
停止させたりすることができるようにします。(例:通信のために36794番ポートを開きます)
- このトロイの木馬は、McAfee.com ウイルススキャンオンラインでPWS-Hooker.dllとして検知されます。
このウイルスは、ネットワーク共有内のマシンのスタートアップフォルダに自分自身をコピーします。
(ファイル名:(ランダムな文字).EXE)
以下のセキュリティプログラムの動作を妨害します。
ACKWIN32.exe
F-AGNT95.exe
ANTI-TROJAN.exe
APVXDWIN.exe
AUTODOWN.exe
AVCONSOL.exe
AVE32.exe
AVGCTRL.exe
AVKSERV.exe
AVNT.exe
AVP32.exe
AVP32.exe
AVPCC.exe
AVPCC.exe
AVPDOS32.exe
AVPM.exe
AVPM.exe
AVPTC32.exe
AVPUPD.exe
AVSCHED32.exe
AVWIN95.exe
AVWUPD32.exe
BLACKD.exe
BLACKICE.exe
CFIADMIN.exe
CFIAUDIT.exe
CFINET.exe
CFINET32.exe
CLAW95.exe
CLAW95CF.exe
CLEANER.exe
CLEANER3.exe
DVP95_0.exe
ECENGINE.exe
ESAFE.exe
ESPWATCH.exe
FINDVIRU.exe
FPROT.exe
IAMAPP.exe
IAMSERV.exe
IBMASN.exe
IBMAVSP.exe
ICLOAD95.exe
ICLOADNT.exe
ICMON.exe
ICSUPP95.exe
ICSUPPNT.exe
IFACE.exe
IOMON98.exe
JEDI.exe
LOCKDOWN2000.exe
LOOKOUT.exe
LUALL.exe
MOOLIVE.exe
MPFTRAY.exe
N32SCANW.exe
NAVAPW32.exe
NAVLU32.exe
NAVNT.exe
NAVW32.exe
NAVWNT.exe
NISUM.exe
NMAIN.exe
NORMIST.exe
NUPGRADE.exe
NVC95.exe
OUTPOST.exe
PADMIN.exe
PAVCL.exe
PAVSCHED.exe
PAVW.exe
PCCWIN98.exe
PCFWALLICON.exe
PERSFW.exe
F-PROT.exe
F-PROT95.exe
RAV7.exe
RAV7WIN.exe
RESCUE.exe
SAFEWEB.exe
SCAN32.exe
SCAN95.exe
SCANPM.exe
SCRSCAN.exe
SERV95.exe
SPHINX.exe
F-STOPW.exe
SWEEP95.exe
TBSCAN.exe
TDS2-98.exe
TDS2-NT.exe
VET95.exe
VETTRAY.exe
VSCAN40.exe
VSECOMR.exe
VSHWIN32.exe
VSSTAT.exe
WEBSCANX.exe
WFINDV32.exe
ZONEALARM.exe |
