ウイルス情報
かかりやすさ:中
ベーグル・AL
( Worm.Bagle.al )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- W32.Beagle.AO@mm
- 更新日:
- 年8月9日(月)
/font>
- ■感染したらどうなる
-
- パソコン内のメールアドレスを自動で探し出し、件名が空欄で、本文は「price」や「new price」のウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。 インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。また、自動的にワームのダウンロードも行ないます。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
使用される拡張子は「.zip」です。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:(空欄)
本文:以下の可能性があります。
price
new price
ZIPファイルがパスワード保護されている場合、以下のいずれかが本文に追加されます。
The password is
Password:
添付ファイル:以下のいずれかの可能性があります。
使用される拡張子は「.zip」です。
price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip
※ZIPファイルには「PRICE.EXE」、または「PRICE.HTML」が格納されています。
ZIPファイルがWindows Explorerで開かれると、HTMLファイルがEXEファイルを格納したフォルダとともに表示されます。
このHTMLファイルが脆弱なシステムで実行されると、EXEファイルを実行します。
- レジストリの値を作成
EXEファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
以下に自分自身をコピーします。
C:\%System%\WINdirect.exe
同じ場所に以下が作成されます。
_dll.exe
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = C:%System%\windll.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = C:\%System%\windll.exe
- EXEファイルがダウンロードされ、ダウンローダ型トロイの木馬によって実行されると、WINDLL.EXEというファイル名でシステムディレクトリに自身をコピーします。
以下に自分自身をコピーします。
C:\%System%\windll.exe
同じ場所に以下が作成されます。
windll.exeopen
windll.exeopenopen
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
erthgdr = C:\%System%\windll.exe
さらに以下のレジストリの値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
%System%は、システムディレクトリです。
- 以下のmutexが作成され、W32.Netskyの特定の亜種が感染マシンで動作しないようにします。
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。 また、Outlookのウィンドウからも電子メールアドレスを収集します。
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
- 以下の文字列を含むアドレスには送信しません。
@eerswqe
@derewrdgrs
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
- 以下の文字列を含むプログラムを強制終了します。
FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
- ワームのダウンロード
以下のwebサイトから、EXEファイルとしてワームをダウンロードします。
polobeer.de
r2626r.de
kooltokyo.ru
mmag.ru
advm1.gm.fh-koeln.de
evadia.ru
megion.ru
molinero-berlin.de
dozenten.f1.fhtw-berlin.de
shadkhan.ru
sacred.ru
kypexin.ru
www.gantke-net.com
www.mcschnaeppchen.com
www.rollenspielzirkel.de
134.102.228.45
196.12.49.27
aus-Zeit.com
lottery.h11.ru
herzog.cs.uni-magdeburg.de
yaguark.h10.ru
213.188.129.72
thorpedo.us
szm.sk
lars-s.privat.t-online.de
www.no-abi2003.de
www.mdmedia.org
abi-2004.org
sovea.de
www.porta.de
matzlinger.com
pocono.ru
controltechniques.ru
alexey.pioneers.com.ru
momentum.ru
omegat.ru
www.perfectgirls.net
porno-mania.net
colleen.ai.net
ourcj.com
free.bestialityhost.com
slavarik.ru
burn2k.ipupdater.com
carabi.ru
spbbook.ru
binn.ru
sbuilder.ru
protek.ru
www.PlayGround.ru
celine.artics.ru
www.artics.ru
www.laserbuild.ru
www.lamatec.com
www.sensi.com
www.oldtownradio.com
www.youbuynow.com
64.62.172.118
www.tayles.com
dodgetheatre.com
www.thepositivesideofsports.com
www.bridesinrussia.com
fairy.dataforce.net
www.pakwerk.ru
home.profootball.ru
www.ankil.ru
www.ddosers.net
tarkosale.net
www.boglen.com
change.east.ru
www.teatr-estrada.ru
www.glass-master.ru
www.zeiss.ru
www.sposob.ru
www.glavriba.ru
alfinternational.ru
euroviolence.com
www.webronet.com
www.virtmemb.com
www.infognt.com
www.vivamedia.ru
www.zelnet.ru
www.dsmedia.ru
www.vendex.ru
www.elit-line.ru
pixel.co.il
www.milm.ru
dev.tikls.net
www.met.pl
www.strefa.pl
kafka.punkt.pl
www.rubikon.pl
www.neostrada.pl
werel1.web-gratis.net
www.tuhart.net
www.antykoncepcja.net
www.dami.com.pl
vip.pnet.pl
www.webzdarma.cz
emnesty.w.interia.pl
niebo.net
strony.wp.pl
sec.polbox.pl
www.phg.pl
emnezz.e-mania.pl
www.republika.pl
www.silesianet.pl
www.republika.pl
tdi-router.opola.pl
republika.pl
infokom.pl
silesianet.pl
terramail.pl
silesianet.pl
www.iluminati.kicks-ass.net
www.dilver.ru
www.yarcity.ru
www.scli.ru
www.elemental.ru
diablo.homelinux.com
www.interrybflot.ru
www.webpark.pl
www.rafani.cz
gutemine.wu-wien.ac.at
przeglad-tygodnik.pl
przeglad-tygodnik.pl
pb195.slupsk.sdi.tpnet.pl
www.ciachoo.pl
cavalierland.5u.com
www.nefkom.net
rausis.latnet.lv
www.hgr.de
www.airnav.com
www.astoria-stuttgart.de
ultimate-best-hgh.0my.net
wynnsjammer.proboards18.com
www.jewishgen.org
www.hack-gegen-rechts.com
host.wallstreetcity.com
quotes.barchart.com
www.aannemers-nederland.nl
www.sjgreatdeals.com
financial.washingtonpost.com
www.biratnagarmun.org.np
hsr.zhp.org.pl
traveldeals.sidestep.com
www.hbz-nrw.de
www.ifa-guide.co.uk
www.inversorlatino.com
www.zhp.gdynia.pl
host.businessweek.com
packages.debian.or.jp
www.math.kobe-u.ac.jp
www.k2kapital.com
www.tanzen-in-sh.de
www.wapf.com
www.hgrstrailer.com
www.forbes.com
www.oshweb.com
www.rumbgeo.ru
www.dicto.ru
www.busheron.ru
www.omnicom.ru
www.teleline.ru
www.dynex.ru
www.gamma.vyborg.ru
nominal.kaliningrad.ru
www.baltmatours.com
www.interfoodtd.ru
www.baltnet.ru
www.neprifan.ru
photo.gornet.ru
www.aktor.ru
catalog.zelnet.ru
www.sdsauto.ru
www.gradinter.ru
www.avant.ru
www.porsa.ru
www.taom-clan.de
www.perfectjewel.com
www.vrack.net
www.netradar.com
www.pgipearls.com
www.vconsole.net
www.ccbootcamp.com
host23.ipowerweb.com
www.timelessimages.com
www.peterstar.ru
www.5100.ru
www.gin.ru
www.rweb.ru
www.metacenter.ru
www.biysk.ru
www.free-time.ru
www.rastt.ru
www.chelny.ru
www.chat4adult.com
www.landofcash.net
relay.great.ru
www.kefaloniaresorts.com
www.epski.gr
www.myrtoscorp.com
www.aphel.de
www.intellect.lvc
www.abcdesign.ru
- 自分自身を大量コピー
「Shar」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、以下のファイルをコピーします。
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
- セキュリティ関連製品およびワームに関する以下のレジストリが削除されます。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus AV'
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"
- 不正アクセスの許可
このウイルスに感染すると、TCPおよび、UDPポート2480番が開かれ、不正なアクセスを許可してしまいます。