キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Bagle.A
公開日:2004年01月20日
このウイルスに関する危険度 :■■■■□
対応定義ファイル 定義ファイルバージョン 1.601(20040118) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染が拡大している
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


Win32/Bagle.A は、電子メールの添付ファイルで拡散するワームです。
このワームは圧縮されておらず、サイズは15,872バイトで、拡張子がexeのランダムなファイル名を持ちます。
差出アドレス(送信元メールアドレス)はランダムであり、ワームに感染した実際のコンピュータのアドレスとは限りません。

メールの題名は、"Hi" です。メールの本文には次のテキストが含まれます。

Test =)
amjscyqovdejfpxt
--
Test, yep.

メールの本文の2行目の文字列はランダムです。添付ファイルのアイコンの絵柄は「電卓(計算機)」であり、添付ファイルが開かれたときや実行されたとき、Windowsの電卓プログラム(calc.exe)が起動されて、ワームは活動を開始します。
このワームは、コンピュータの日付が2004年1月28日以前であるときにのみ活動します。
このワームは、自分自身を bbeagle.exe というファイル名でディスクにコピーします。

このワームは、次のレジストリに自分自身を登録します。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"d3dupdate.exe" = " %systemdir%\bbeagle.exe"

さらに新しいレジストリキーを次のように作成します。
[HKEY_CURRENT_USER\Software\Windows98]
"uid"= (ランダムな数値)
"frun"= 00000001(DWORD値)

このワームは、電子メールを経由して感染を広めるために、次の拡張子を持つファイルからメールアドレスを取得します。
wab, txt, htm および html

ただし、次の文字列を含むメールアドレスは除外されます。
"@hotmail.com", "@msn.com", "@microsoft", "@avp" および "r1"

このワームは、インターネットから実行可能なファイルをダウンロードすることができ、このワームに感染したコンピュータで実行されます。このワームは、次のWebサイトに接続します。

http://www.elrasshop.de/1.php
http://www.it-msc.de/1.php
http://www.getyourfree.net/1.php
http://www.dmdesign.de/1.php
http://64.176.228.13/1.php
http://www.leonzernitsky.com/1.php
http://216.98.136.248/1.php
http://216.98.134.247/1.php
http://www.cdromca.com/1.php
http://www.kunst-in-templin.de/1.php
http://vipweb.ru/1.php
http://antol-co.ru/1.php
http://www.bags-dostavka.mags.ru/1.php
http://www.5x12.ru/1.php
http://bose-audio.net/1.php
http://www.sttngdata.de/1.php
http://wh9.tu-dresden.de/1.php
http://www.micronuke.net/1.php
http://www.stadthagen.org/1.php
http://www.beasty-cars.de/1.php
http://www.polohexe.de/1.php
http://www.bino88.de/1.php
http://www.grefrathpaenz.de/1.php
http://www.bhamidy.de/1.php
http://www.mystic-vws.de/1.php
http://www.auto-hobby-essen.de/1.php
http://www.polozicke.de/1.php
http://www.twr-music.de/1.php
http://www.sc-erbendorf.de/1.php
http://www.montania.de/1.php
http://www.medi-martin.de/1.php
http://vvcgn.de/1.php
http://www.ballonfoto.com/1.php
http://www.marder-gmbh.de/1.php
http://www.dvd-filme.com/1.php
http://www.smeangol.com/1.php
http://www.elrasshop.de/1.php
http://www.it-msc.de/1.php
http://www.getyourfree.net/1.php
http://www.dmdesign.de/1.php
http://64.176.228.13/1.php
http://www.leonzernitsky.com/1.php
http://216.98.136.248/1.php
http://216.98.134.247/1.php
http://www.cdromca.com/1.php
http://www.kunst-in-templin.de/1.php
http://vipweb.ru/1.php
http://antol-co.ru/1.php
http://www.bags-dostavka.mags.ru/1.php
http://www.5x12.ru/1.php
http://bose-audio.net/1.php
http://www.sttngdata.de/1.php
http://wh9.tu-dresden.de/1.php
http://www.micronuke.net/1.php
http://www.stadthagen.org/1.php
http://www.beasty-cars.de/1.php
http://www.polohexe.de/1.php
http://www.bino88.de/1.php
http://www.grefrathpaenz.de/1.php
http://www.bhamidy.de/1.php
http://www.mystic-vws.de/1.php
http://www.auto-hobby-essen.de/1.php
http://www.polozicke.de/1.php
http://www.twr-music.de/1.php
http://www.sc-erbendorf.de/1.php
http://www.montania.de/1.php
http://www.medi-martin.de/1.php
http://vvcgn.de/1.php
http://www.ballonfoto.com/1.php
http://www.marder-gmbh.de/1.php
http://www.dvd-filme.com/1.php
http://www.smeangol.com/1.php

Win32/Bagle.A は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.601にて対応しています。

■Win32/Bagle.A 駆除ツール

本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール bgaclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに
保存してください。(例"c:\download")
2. bgaclean.exe を実行してください。
3.

ディスクスキャンの実施

ディスクスキャンの実施
駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。

【注意】下記が出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

警告メッセージ

ディスクスキャン

4. ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。

確認ダイアログ
5. Windowsを再起動してください。以上で完了です。
このページのトップへ

(C)Canon IT Solutions Inc.