ウイルス情報

かかりやすさ:中

( Worm.Bagle.j )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年3月2日(火)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
    また、「Shar」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、 発見したフォルダに自分自身をコピーします。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    使用される拡張子は「.exe、.pif、.zip」のいずれかです。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    件名:以下の可能性があります。
    Important notify about your e-mail account.
    Email account utilization warning.
    Notify about your e-mail account utilization.
    E-mail account disabling warning.
    E-mail account security warning.
    Notify about using the e-mail account.
    Warning about your e-mail account.

    本文:以下の可能性があります。
    Dear user of (user's domain) ,
    Dear user of (user's domain) gateway e-mail server,
    Dear user of e-mail server "(user's domain) ",
    Hello user of (user's domain) e-mail server,
    Dear user of "(user's domain) " mailing system,
    Dear user, the management of (user's domain) mailing system wants to let you know that,

    添付ファイル:以下のファイル名の可能性があります。
    Info
    TextDocument
    TextFile
    MoreInfo
    Message
    Attach
    Information
    Readme
    Document
    使用される拡張子は「.exe、.pif、.zip」のいずれかです。解凍するとワードパッドのアイコンを装ったファイルが現われます。

    添付ファイルを実行すると、「IRUN4.EXE」というプログラムが以下の場所にコピーされます。
    C:?WINDOWS?SYSTEM?IRUN4.EXE(Windows 98/Me)
    C:?WINNT?SYSTEM32?IRUN4.EXE(Windows 2000)
    C:?WINDOWS?SYSTEM32?IRUN4.EXE(Windows XP)

    以下のレジストリの値を作成します。
    HKEY_CURRENT_USER?Software?Microsoft?Windows?CurrentVersion?Run "ssate.exe" = C:?WINDOWS?SYSTEM?irun4.exe(Windows 98/Me)
    HKEY_CURRENT_USER?Software?Microsoft?Windows?CurrentVersion?Run "ssate.exe" = C:?WINNT?SYSTEM32?irun4.exe(Windows 2000)
    HKEY_CURRENT_USER?Software?Microsoft?Windows?CurrentVersion?Run "ssate.exe" = C:?WINDOWS?SYSTEM32?irun4.exe(Windows XP)
  • 以下のプログラムを強制終了します。
    ATUPDATER.EXE
    AUPDATE.EXE
    AUTODOWN.EXE
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    AVLTMAIN.EXE
    AVPUPD.EXE
    AVWUPD32.EXE
    AVXQUAR.EXE
    CFIAUDIT.EXE
    DRWEBUPW.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    LUALL.EXE
    MCUPDATE.EXE
    NUPGRADE.EXE
    OUTPOST.EXE
    UPDATE.EXE
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    .ADB
    .ASP
    .CFG
    .CGI
    ..DBX
    .EML
    .HTM
    .MDX
    .MMF
    .MSG
    .NCH
    .ODS
    .PHP
    .PL
    .SHT
    .TBB
    .TXT
    .UIN
    .WAB
    .XML

    しかし、以下のメールアドレスに対しては送信されません。
    @hotmail.com
    @msn.com
    @microsoft
    @avp.
    noreply
    local
    root@
    postmaster@
  • 自分自身を大量コピー
    「Shar」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、以下のファイルをコピーします。
    ACDSee 9.exe
    Adobe Photoshop 9 full.exe
    Ahead Nero 7.exe
    Matrix 3 Revolution English Subtitles.exe
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Office XP working Crack, Keygen.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Opera 8 New!.exe
    Porno pics arhive, xxx.exe
    Porno Screensaver.scr
    Porno, sex, oral, anal cool, awesome!!.exe
    Serials.txt.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    WinAmp 6 New!.exe
    Windown Longhorn Beta Leak.exe
    Windows Sourcecode update.doc.exe
    XXX hardcore images.exe

    ※このウイルスは、2005年4月25日(日)に感染活動を停止するようにプログラムされています。