| 対応定義ファイル |
Win32/Bagle.C
定義ファイルバージョン1.636 (20040228) 以降で対応済みです。
Win32/Bagle.D
定義ファイルバージョン1.638 (20040228) 以降で対応済みです。
Win32/Bagle.E
定義ファイルバージョン1.639 (20040228) 以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Bagle.C Win32/Bagle.C は、電子メールの添付ファイルで拡散するワームです。
メールの題名は次のいずれかです。
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Price-list
Pricelist
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
添付ファイル名はランダムであり、拡張子は.ZIPです。添付ファイルのサイズは 15,994バイトで、
ランダムな名前の実行可能ファイルが圧縮されています。
このワームが実行されると、このワームは %sysdir% フォルダに、次のファイルを作成します。
doc.exe
onde.exe
readme.exe
さらに、システムレジストリに次のキーを追加します。
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"
gouday.exe" = "%sysdir\readme.exe"
このワームは、電子メールを経由して感染を広めるために、すべてのローカルドライブを検索して、次の拡張子を持つファイルからメールアドレスを取得します。
.adb
.asp
.cfg
.dbx
.eml
.htm
.html
.mdx
.mmf
.nch
.ods
.php
.pl
.sht
.txt
.wab
ただし、次の文字列を含むメールアドレスに対しては自分自身を送信しません。
.ch
@avp.
@hotmail.com
@microsoft
@msn.com
local
noreply
postmaster@
root@
このワームは、バックドアを仕掛けて、TCPポート2745番を開き、悪意あるプログラムをリモートインストールすることを試みます。このワームは、次のアドレスのいずれかに接続することを試みます。さらにポート番号とランダムなID番号を送信します。
http://permail.uni-muenster.de/scr.php
http://www.songtext.net/de/scr.php
http://www.sportscheck.de/scr.php
このワームは、次のプログラムを停止することを試みます。
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
このワームは、Windowsのメモ帳プログラム(notepad.exe)を開くことがあります。このワームは、2004年3月14日に活動を停止します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.636にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
■Win32/Bagle.D
Win32/Bagle.D は、Win32/Bagle.C に対して修正が施されたワームです。Win32/Bagle.C
と同様に、電子メールの添付ファイルで拡散するワームです。添付ファイル名やメールの題名は、Win32/Bagle.C
ワームと同じです。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.638にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、
NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
■Win32/Bagle.E
Win32/Bagle.E は、Win32/Bagle.C ワームに似ており、Win32/Bagle.C
と同様に、電子メールの添付ファイルで拡散するワームです。添付ファイルのサイズは変化します。このワームは、ランダムな長さのバイナリデータを添付してメールを送信します。
このワームが実行されると、%sysdir% フォルダに、次のファイルが作成されます。
i1ru74n4.exe
godo.exe
ii455nj4.exe
さらに、システムレジストリに次のキーを追加します。
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"
rate.exe" = "%sysdir\i1ru74n4.exe"
メールの本文は、次の文字列からランダムに選ばれます。
Cya
Empty
Everything inside the attach
Look it through
Request
Response
Subj
次の文字列を含むメールアドレスに対しては自分自身を送信しません。
.gr
@avp.
@hotmail.com
@microsoft
@msn.com
local
noreply
postmaster@
root@
このワームは、2004年3月25日に活動を停止します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.639にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
■各亜種の駆除ツールは以下からダウンロードいただけます。
| Win32/Bagle.A についてのウイルス情報、駆除ツールは こちら |
| Win32/Bagle.C 駆除ツールは こちら |
| Win32/Bagle.D 駆除ツールは こちら |
| Win32/Bagle.E 駆除ツールは こちら |
■Win32/Bagle.C 駆除ツール
本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
■Win32/Bagle.D 駆除ツール
本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
■Win32/Bagle.E 駆除ツール
本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
|
