ウイルス情報

かかりやすさ:中

( Worm.Bagle.AB )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年7月15日(木)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。
    インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    使用される拡張子は「.exe、.scr、.com、.cpl、.zip」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。

    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    添付ファイルがパスワード保護されたZIPファイルかどうかで件名と本文を決定します。

    添付ファイル:以下のいずれかの可能性があります。
    Information
    Details
    text_document
    Updates
    Readme
    Document
    Info
    Details
    Message

    添付ファイルがZIPファイル以外の場合(.exe、.scr、.com、.cpl)は以下の件名と本文になります。

    件名:以下のいずれかの可能性があります。
    Re: Msg reply
    Re: Hello
    Re: Yahoo!
    Re: Thank you!
    Re: Thanks :)
    RE: Text message
    Re: Document
    Incoming message
    Re: Incoming Message
    RE: Incoming Msg
    RE: Message Notify
    Notification
    Changes..
    Update
    Fax Message
    Protected message
    RE: Protected message
    Forum notify
    Site changes
    Re: Hi
    Encrypted document

    本文:以下のいずれかの可能性があります。
    Read the attach.
    Your file is attached.
    More info is in attach
    See attach.
    Please, have a look at the attached file.
    Your document is attached.
    Please, read the document.
    Attach tells everything.
    Attached file tells everything.
    Check attached file for details.
    Check attached file.
    Pay attention at the attach.
    See the attached file for details.
    Message is in attach
    Here is the file.

    添付ファイルがパスワード保護されたZIPファイルの場合は以下の件名と本文になります。

    件名:以下のいずれかの可能性があります。
    Password:
    Pass -
    Password -

    本文:以下のいずれかの可能性があります。
    For security reasons attached file is password protected. The password is
    For security purposes the attached file is password protected. Password --
    Note: Use password to open archive.
    Attached file is protected with the password for security reasons. Password is
    In order to read the attach you have to use the following password:
    Archive password:
    Password -
    Password:

    ※また、ZIPファイル内に以下のファイルの拡張子が付いたランダムなファイル名のファイルが存在します。
    .ini
    .cfg
    .txt
    .vxd
    .def
    .dll
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。
    %System%\sysxp.exe

    同じ場所に以下が作成されます。
    sysxp.exeopen
    sysxp.exeopenopen

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "key" = %System%\sysxp.exe"

    ※%System%は、システムディレクトリです。
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    .wab
    .txt
    .msg
    .htm
    .shtm
    .stm
    .xml
    .dbx
    .mbx
    .mdx
    .eml
    .nch
    .mmf
    .ods
    .cfg
    .asp
    .php
    .pl
    .wsh
    .adb
    .tbb
    .sht
    .xls
    .oft
    .uin
    .cgi
    .mht
    .dhtm
    .jsp

    以下の文字列を含むアドレスには送信しません。
    @hotmail
    @msn
    @microsoft
    rating@
    f-secur
    news
    update
    anyone@
    bugs@
    contract@
    feste
    gold-certs@
    help@
    info@
    nobody@
    noone@
    kasp
    admin
    icrosoft
    support
    ntivi
    unix
    bsd
    linux
    listserv
    certific
    sopho
    @foo
    @iana
    free-av
    @messagelab
    winzip
    google
    winrar
    samples
    abuse
    panda
    cafee
    spam
    pgp
    @avp.
    noreply
    local
    root@
    postmaster@
  • 自分自身を大量コピー
    「Shar」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、以下のファイルをコピーします。
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Microsoft Office XP working Crack, Keygen.exe
    Porno, sex, oral, anal cool, awesome!!.exe
    Porno Screensaver.scr
    Serials.txt.exe
    KAV 5.0
    Kaspersky Antivirus 5.0
    Porno pics arhive, xxx.exe
    Windows Sourcecode update.doc.exe
    Ahead Nero 7.exe
    Windown Longhorn Beta Leak.exe
    Opera 8 New!.exe
    XXX hardcore images.exe
    WinAmp 6 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    Adobe Photoshop 9 full.exe
    Matrix 3 Revolution English Subtitles.exe
    ACDSee 9.exe,0
  • セキュリティ関連製品およびワームに関する以下のレジストリが削除されます。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "My AV"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "My AV"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Zone Labs Client Ex"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Zone Labs Client Ex"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "9XHtProtect"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "9XHtProtect"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Antivirus"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Antivirus"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Special Firewall Service"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Special Firewall Service"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "service"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "service"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Tiny AV"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Tiny AV"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "ICQNet"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "ICQNet"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "HtProtect"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "HtProtect"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "NetDy"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "NetDy"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Jammer2nd"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Jammer2nd"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "FirewallSvr"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "FirewallSvr"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "MsInfo"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "MsInfo"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "SysMonXP"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "SysMonXP"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "EasyAV"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "EasyAV"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "PandaAVEngine"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "PandaAVEngine"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "Norton Antivirus AV"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Norton Antivirus AV"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "KasperskyAVEng"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "KasperskyAVEng"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "SkynetsRevenge"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "SkynetsRevenge"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "ICQ Net"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "ICQ Net"
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート1080番が開かれ、不正なアクセスを許可してしまいます。