キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/Bugbear.B
公開日:2003年06月09日
このウイルスに関する危険度 :■■■■□
対応定義ファイル 定義ファイルバージョン 1.428(20030605) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染が拡大している
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中

■事前ウイルス概要

Win32/Bugbear.B(別名 Tanatos.B) は、バックドアコンポーネントを持ち、WindowsOS環境下で拡大しているワームです。これは以前の亜種であるBugbear.Aと共通です。このワームは電子メールの添付ファイルや、ローカルネットワークのアクセス可能な共有ディスクを経由して拡大しています。このワームの本体はポリモーフィック型のエンクリプタを使って暗号化されており、さらにUPXランタイムパッカーで圧縮されています。ワームの長さは72192バイトで、以前から使われている二重拡張子のトリックを用いています。これは、WindowsのOSでは二重拡張子のついたファイルの最初の拡張子だけを表示し、後ろの拡張子は隠されたままであるというものです。

注意:以下では、Windowsがインストールされているディレクトリ(コンピュータごとに異なります)を%windir%という文字列であらわします。

ワームに感染した添付ファイルが実行されると、ランダムに生成された名前を持つディレクトリが、%windir%\System というディレクトリに作成されます。この新しく作成されたディレクトリは、いわゆる“キーロガー”と呼ばれる役割を果たします。これはワームに感染したコンピュータ上でユーザがタイプしたキーボードの全てのキーの情報を保存するダイナミックライブラリです。このワームはランダムな名前(例 as sqxq.exe)を持つ自身のコピーを"Start Menu\Programs\Startup"ディレクトリに作成します。

次のステップでは、ワームは感染したコンピュータのメモリ上で実行されているプログラム(プロセス)を終了させます。終了させられるプロセスの膨大なリストには、様々な常駐のアンチウイルスプログラム、ファイアウォール、その他セキュリティユーティリティが含まれています。以下のリストはワーム本体から収集されたものです。

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE

 PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE 		ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE

AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

感染した電子メールを送付する新たなアドレスや受信者を見つけるために、ワームは、.ODS、 .MMF、 .NCH、 .MBX、 .EML、 .TBB、.DBXといった拡張子を持つファイルの中を検索します。このワームの持つトリッキーな特徴は、その本体を現行の電子メールに貼り付けたり、もしくは過去送信された電子メールを再送信することで自身を送信できる点です。特に巧妙な特徴としては、コンピュータ上で見つかった電子メールへの返信としてメールが送信されているように偽装する能力を持ってることです。最終的には、ワームは以下のリストから選択された件名を持つ新たな電子メールを作成することも可能です。

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$24150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

ワームは、自身を送信しないアドレスの組み込み式“ブラックリスト”を持っています。

remove
spam
undisclosed
recipients
noreply
lyris
virus
trojan
mailer-daemon
postmaster@
root@
nobody@
localhost
localdomain
list
talk
ticket
majordom

このワームの“標準的武器”は送信者のアドレスを偽装することです。この送信者のアドレスは、感染したコンピュータ上で見つかったアドレスのリストから選択される場合があります。

ワームの本体は空か、もしくは感染したコンピュータ上で発見されたファイルから取ってきたテキストを含んでいます。感染を引き起こす添付ファイルは二重拡張子を持ち、最初の拡張子は以下のリストから選択されます。

reg
ini
bat
h

diz
txt
cpp
c

 html
htm
jpeg
jpg		 gif
cpl
bmp

一方2つ目の拡張子は以下の実行形式の拡張子となります。

ini
pif
scr
exe

ワームは以下のリストにある .EXEファイルを感染させることができます。

winzip\winzip32.exe
kazaa\kazaa.exe
ICQ\Icq.exe
DAP\DAP.exe
Winamp\winamp.exe
AIM95\aim.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
Trillian\Trillian.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
StreamCast\Morpheus\Morpheus.exe
QuickTime\QuickTimePlayer.exe
WS_FTP\WS_FTP95.exe
MSN Messenger\msnmsgr.exe
ACDSee32\ACDSee32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
CuteFTP\cutftp32.exe
Far\Far.exe
Outlook Express\msimn.exe
Real\RealPlayer\realplay.exe
Windows Media Player\mplayer2.exe
WinRAR\WinRAR.exe
adobe\acrobat 5.0\reader\acrord32.exe
Internet Explorer\iexplore.exe
winhelp.exe
notepad.exe
hh.exe
mplayer.exe
regedit.exe
scandskw.exe

NOD32アンチウイルス 定義ファイルバージョン 1.428(20030605) 以上をお使いのユーザーはこのワームに対して完全に保護されています。
このページのトップへ

(C)Canon IT Solutions Inc.