ウイルス情報

かかりやすさ:中

( Worm.Bagle.as )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
W32/Bagle.az@MM、W32.Beagle.AR@mm、WORM_BAGLE.AM
更新日:
2004年9月28日(火)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、差出人を偽ったメールを勝手に送信します。また、悪意あるユーザーがパソコンに侵入するための入り口を作ります。感染には気がつきにくいですが、 パソコンが急に重く感じられるときは感染の疑いがあります。
■感染しないためには
  • 以下のメールが来たら、添付ファイルを実行しないでメールを削除してください。
    件名:Re: 、Re: Hello 、Re: Thank you! 、Re: Thanks :) 、Re: Hi のいずれか
    本文::) または :))
    添付ファイル:Price 、price 、Joke のいずれか
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンから勝手にメールアドレスを取得し、なりすまします。

    件名:以下の可能性があります。
    Re:
    Re: Hello
    Re: Thank you!
    Re: Thanks :)
    Re: Hi

    本文:以下の可能性があります。
    :)
    :))

    添付ファイル:以下の可能性があります。
    Price
    price
    Joke
    次のいずれかの拡張子が付いている可能性があります。
    .exe
    .scr
    .com
    .cpl
  • レジストリの値を作成
    添付ファイルを実行すると、ワームをBAWINDO.EXEとしてウィンドウズシステムディレクトリに自分自身を保存します。
    C:\%System%\bawindo.exe Joke

    ワームを実行するための以下のファイルを同じ場所に保存します。
    C:\%System%\bawindo.exeopen
    C:\%System%\bawindo.exeopenopen Joke

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "bawindo" = "C:\%System%\bawindo.exe"

    %System%は、システムディレクトリです。
  • mutexが作成され、1度に1つのW32.Bagle.AS@IWormだけが動くように設定されます。
    また同様に、W32.Netskyの特定の亜種が感染マシンで動作しないようにします。
  • 大量メール送信
    このウイルスは、感染したパソコン内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    .wab
    .txt
    .msg
    .htm
    .shtm
    .stm
    .xml
    .dbx
    .mbx
    .mdx
    .eml
    .nch
    .mmf
    .ods
    .cfg
    .asp
    .php
    .pl
    .wsh
    .adb
    .tbb
    .sht
    .xls
    .oft
    .uin
    .cgi
    .mht
    .dhtm
    .jsp

    以下の文字列を含むアドレスには送信しません。
    @hotmail
    @msn
    @microsoft
    rating@
    f-secur
    news
    update
    anyone@
    bugs@
    contract@
    feste
    gold-certs@
    help@
    info@
    nobody@
    noone@
    kasp
    admin
    icrosoft
    support
    ntivi
    unix
    bsd
    linux
    listserv
    certific
    sopho
    @foo
    @iana
    free-av
    @messagelab
    winzip
    google
    winrar
    samples
    abuse
    panda
    cafee
    spam
    pgp
    @avp.
    noreply
    local
    root@
    postmaster@
  • 以下の文字列を含むプログラムを強制終了します。
    alogserv.exe
    APVXDWIN.EXE
    ATUPDATER.EXE
    AUPDATE.EXE
    AUTODOWN.EXE
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    Avconsol.EXE
    AVENGINE.EXE
    AVPUPD.EXE
    Avsynmgr.EXE
    AVWUPD32.EXE
    AVXQUAR.EXE
    blackd.EXE
    ccApp.EXE
    ccEvtMgr.EXE
    ccProxy.EXE
    ccPxySvc.EXE
    CFIAUDIT.EXE
    DefWatch.EXE
    DRWEBUPW.EXE
    ESCANH95.EXE
    ESCANHNT.EXE
    FIREWALL.EXE
    FrameworkService.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    LUALL.EXE
    LUCOMS~1.EXE
    mcagent.EXE
    mcshield.EXE
    MCUPDATE.EXE
    mcvsescn.EXE
    mcvsrte.EXE
    mcvsshld.EXE
    navapsvc.EXE
    navapw32.EXE
    NISUM.EXE
    nopdb.EXE
    NPROTECT.EXE
    NUPGRADE.EXE
    OUTPOST.EXE
    PavFires.EXE
    pavProxy.EXE
    pavsrv50.EXE
    Rtvscan.EXE
    RuLaunch.EXE
    SAVScan.EXE
    SHSTAT.EXE
    SNDSrvc.EXE
    symlcsvc.EXE
    UPDATE.EXE
    UpdaterUI.EXE
    Vshwin32.EXE
    VsStat.EXE
    VsTskMgr.exe
  • WS.JPGのダウンロード
    以下のウェブサイトからWS.JPGという名前のファイルを読み込みます。(現在のところ、このファイルは実在しません。)
    www.24-7-transportation.com
    www.adhdtests.com
    www.aegee.org
    www.aimcenter.net
    www.alupass.lu
    www.amanit.ru
    www.andara.com
    www.angelartsanctuary.com
    www.anthonyflanagan.com
    www.approved1stmortgage.com
    www.argontech.net
    www.asianfestival.nl
    www.atlantisteste.hpg.com.br
    www.aviation-center.de
    www.bbsh.org
    www.bga-gsm.ru
    www.boneheadmusic.com
    www.bottombouncer.com
    www.bradster.com
    www.buddyboymusic.com
    www.bueroservice-it.de
    www.calderwoodinn.com
    www.capri-frames.de
    www.celula.com.mx
    www.ceskyhosting.cz
    www.chinasenfa.com
    www.cntv.info
    www.compsolutionstore.com
    www.coolfreepages.com
    www.corpsite.com
    www.couponcapital.net
    www.cpc.adv.br
    www.crystalrose.ca
    www.cscliberec.cz
    www.curtmarsh.com
    www.customloyal.com
    www.DarrkSydebaby.com
    www.deadrobot.com
    www.dontbeaweekendparent.com
    www.dragcar.com
    www.ecofotos.com.br
    www.elenalazar.com
    www.ellarouge.com.au
    www.esperanzaparalafamilia.com
    www.eurostavba.sk
    www.everett.wednet.edu
    www.fcpages.com
    www.featech.com
    www.fepese.ufsc.br
    www.firstnightoceancounty.org
    www.flashcorp.com
    www.fleigutaetscher.ch
    www.fludir.is
    www.freeservers.com
    www.FritoPie.NET
    www.gamp.pl
    www.gci-bln.de
    www.gcnet.ru
    www.generationnow.net
    www.gfn.org
    www.giantrevenue.com
    www.glass.la
    www.handsforhealth.com
    www.hartacorporation.com
    www.himpsi.org
    www.idb-group.net
    www.immonaut.sk
    www.ims-i.com
    www.innnewport.com
    www.irakli.org
    www.irinaswelt.de
    www.jansenboiler.com
    www.jasnet.pl
    www.jhaforpresident.7p.com
    www.jimvann.com
    www.jldr.ca
    www.justrepublicans.com
    www.kencorbett.com
    www.knicks.nl
    www.kps4parents.com
    www.kradtraining.de
    www.kranenberg.de
    www.lasermach.com
    www.leonhendrix.com
    www.magicbottle.com.tw
    www.mass-i.kiev.ua
    www.mepbisu.de
    www.mepmh.de
    www.metal.pl
    www.mexis.com
    www.mongolische-renner.de
    www.mtfdesign.com
    www.oboe-online.com
    www.ohiolimo.com
    www.onepositiveplace.org
    www.oohlala-kirkland.com
    www.orari.net
    www.pankration.com
    www.pe-sh.com
    www.pfadfinder-leobersdorf.com
    www.pipni.cz
    www.polizeimotorrad.de
    www.programmierung2000.de
    www.pyrlandia-boogie.pl
    www.raecoinc.com
    www.realgps.com
    www.redlightpictures.com
    www.reliance-yachts.com
    www.relocationflorida.com
    www.rentalstation.com
    www.rieraquadros.com.br
    www.scanex-medical.fi
    www.sea.bz.it
    www.selu.edu
    www.sigi.lu
    www.sljinc.com
    www.smacgreetings.com
    www.soloconsulting.com
    www.spadochron.pl
    www.srg-neuburg.de
    www.ssmifc.ca
    www.sugardas.lt
    www.sunassetholdings.com
    www.szantomierz.art.pl
    www.the-fabulous-lions.de
    www.tivogoddess.com
    www.tkd2xcell.com
    www.topko.sk
    www.transportation.gov.bh
    www.travelchronic.de
    www.traverse.com
    www.uhcc.com
    www.ulpiano.org
    www.uslungiarue.it
    www.vandermost.de
    www.vbw.info
    www.velezcourtesymanagement.com
    www.velocityprint.com
    www.vikingpc.pl
    www.vinirforge.com
    www.wecompete.com
    www.worest.com.ar
    www.woundedshepherds.com
    www.wwwebad.com
    www.wwwebmaster.com
  • 自分自身を大量コピー
    「Shar」という名前を含むフォルダ名を探し出し、以下のファイルを作成します。
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Microsoft Office XP working Crack, Keygen.exe
    Porno, sex, oral, anal cool, awesome!!.exe
    Porno Screensaver.scr
    Serials.txt.exe
    KAV 5.0
    Kaspersky Antivirus 5.0
    Porno pics arhive, xxx.exe
    Windows Sourcecode update.doc.exe
    Ahead Nero 7.exe
    Windown Longhorn Beta Leak.exe
    Opera 8 New!.exe
    XXX hardcore images.exe
    WinAmp 6 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    Adobe Photoshop 9 full.exe
    Matrix 3 Revolution English Subtitles.exe
    ACDSee 9.exe
  • セキュリティ関連製品およびワームに関する以下のレジストリが削除されます。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
    "My AV"
    "Zone Labs Client Ex"
    "9XHtProtect"
    "Antivirus"
    "Special Firewall Service"
    "service"
    "Tiny AV"
    "ICQNet"
    "HtProtect"
    "NetDy"
    "Jammer2nd"
    "FirewallSvr"
    "MsInfo"
    "SysMonXP"
    "EasyAV"
    "PandaAVEngine"
    "Norton Antivirus AV"
    "KasperskyAVEng"
    "SkynetsRevenge"
    "ICQ Net"
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート81番および、ランダムに選んだUDPポートを勝手に開き、不正なアクセスを許可してしまいます。