ウイルス情報

かかりやすさ:中

( Worm.Bagle.BB )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
Troj_Bagle.BE、W32.Beagle.BH@mm、W32/Bagle.bn@MM
更新日:
2005年3月1日(火)
■感染したらどうなる
  • アドレス帳からメールアドレスを収集し、勝手にウイルス付きメールを送信します。また、webサイトにアクセスして、ウイルスのダウンロードを行ないます。ネットワークのトラフィックが発生したり、パソコンの動作が不安定になった場合には要注意です。
■感染しないためには
  • 身に覚えのないメールの添付ファイルをむやみにクリックしないようにしてください。
    詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。

    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    件名:<空欄>

    本文:以下の可能性があります。
    price
    new price

    添付ファイル:ファイル名は以下のいずれかの可能性があります。
    08_price
    new__price
    new_price
    newprice
    price_08
    price_new
    price2

    拡張子は「.zip」になります。zipファイルには、「doc_<数字>.exe」が含まれています。
  • レジストリの値を作成
    添付ファイルを実行すると、ワームをシステムディレクトリに自分自身を「WINDLHHL.EXE」としてインストールされ、以下のレジストリの値を作成します。

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ru1n
    "erghgjhgdr" = %System%\windlhhl.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
    "erghgjhgdr" = %System%\windlhhl.exe

    ※%System%は、システムディレクトリです。
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、アドレス帳「.WAB」から、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。

    メールを送信するために、以下のSMTPサーバにアクセスします。SMTPサーバがアクセス不可の場合、自身に組み込まれているSMTPエンジンを使用してメールを送信します。
    smtp.earthlink.net

    メールを送信するために感染したコンピュータのMXサーバの情報を収集します。MXサーバが利用不可の場合、以下のサーバを使用します。
    217.5.97.137
  • ウイルスのダウンロード
    以下のwebサイトから「EML.EXE」をダウンロードして、ウィンドウズフォルダに保存します。
    http:~careers.com/z/sss2.php
  • レジストリの削除
    以下のレジストリキーから、以下の値を削除します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ru1n
    = "9XHtProtect"
    = "Antivirus"
    = "EasyAV"
    = "FirewallSvr"
    = "HtProtect"
    = "ICQ Net"
    = "ICQNet"
    = "Jammer2nd"
    = "KasperskyAVEng"
    = "MsInfo"
    = "My AV"
    = "NetDy"
    = "Norton Antivirus AV"
    = "PandaAVEngine"
    = "SkynetsRevenge"
    = "Special Firewall Service"
    = "SysMonXP"
    = "Tiny AV"
    = "Zone Labs Client Ex"
    = "service"
  • Mutexの作成
    以下のMutexを作成します。
    |MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
    'D'r'o'p'p'e'd'S'k'y'N'e't'
    _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
    [SkyNet.cz]SystemsMutex
    AdmSkynetJklS003
    ____--->>>>U<<<<--____
    _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート80が開かれ、不正なアクセスを許可してしまいます。
    その場合、感染したコンピュータにファイルのアップロードを行なったり、以下のURLから感染コンピュータにファイルのダウンロードを行ない、システムフォルダに「RE_FILE.EXE」として保存し、実行されます。
    http://localhost/script1.php