対応定義ファイル |
定義ファイルバージョン1.645 (20040302)
以降で対応済みです。 |
ウイルスの対処方法 |
検出ファイルを削除してください |
ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Bagle.J
Win32/Bagle.J は、電子メールの添付ファイルおよびP2Pネットワークの共有フォルダで拡散するワームです。このワームはUPXユーティリティで圧縮されており、サイズは12KBです。
電子メールの場合、差出アドレスのアカウント名(ユーザー名)の部分は次のいずれかを使っています。メールアドレスのドメイン名の部分は、メールの受取人と同じドメイン名を使っています。つまり、差出アドレス(送信元メールアドレス)は偽装されており、ワームに感染した実際のコンピュータのアドレスとは限りません。
management@
administration@
staff@
noreply@
support@
メールの題名は次のいずれかです。
E-mail account security
warning.
Notify about using the e-mail account.
Warning about your e-mail account.
Important notify about your e-mail account.
Email account utilization warning.
Notify about your e-mail account utilization.
E-mail account disabling warning.
メールの本文は、多数の文章から組み合わされて構成されますが、最初の文章は次のいずれかになります。
Dear user of %s,
Dear user of %s gateway e-mail server,
Dear user of e-mail server "%s",
Hello user of %s e-mail server,
Dear user of "%s" mailing system,
Dear user, the management of %s mailing system wants to
let you know that,
続けてメールの本文には、次の文章が含まれています。
Your e-mail account has
been temporary disabled because of unauthorized access.
Our main mailing server
will be temporary unavaible for next two days, to continue
receiving mail in these days you have to configure our
free auto-forwarding service.
Your e-mail account will
be disabled because of improper using in next three days,
if you are still wishing to use it, please, resign your
account information.
We warn you about some
attacks on your e-mail account. Your computer may contain
viruses, in order to keep your computer and e-mail account
safe, please, follow the instructions.
Our antivirus software
has detected a large ammount of viruses outgoing from
your email account, you may use our free anti-virus tool
to clean up your computer software.
Some of our clients complained
about the spam (negative e-mail content) outgoing from
your e-mail account. Probably, you have been infected
by a proxy relay trojan server. In order to keep your
computer safe, follow the instructions.
For more information see
the attached file.
Further details can be obtained from attached file.
Advanced details can be found in attached file.
For details see the attach.
For details see the attached file.
For further details see the attach.
Please, read the attach for further details.
Pay attention on attached file.
メールの本文の最後には次の文字列が含まれています。
The Management,
Sincerely,
Best wishes,
Have a good day,
Cheers,
Kind regards,
The %s team
http://www.%s
注意:%s の部分はメールの受取人と同じドメイン名に置き換えられます。
添付ファイル名は次のいずれかです。
Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message
添付ファイルの拡張子は、".pif"または".zip"です。ZIP形式で圧縮されている場合、ランダムな5桁の数字のパスワードで保護されています。このパスワードは、メールの本文に、次のように記載されています。
For security reasons attached
file is password protected. The password is "<password>".
For security purposes the attached file is password protected.
Password is "<password>".
Attached file protected with the password for security
reasons. Password is <password>.
In order to read the attach you have to use the following
password: <password>.
注意:<password> の部分には、添付されているZIPファイルを解凍できるパスワードが記載されます。このZIPファイルには、ワームがランダムなファイル名で圧縮されていますので、解凍しないでください。
このワームは、電子メールを経由して感染を広めるために、次の拡張子を持つファイルからメールアドレスを取得します。
.wab
.txt
.msg
.htm
.xml
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.adb
.tbb
.sht
.uin
.cgi
ただし、次の文字列を含むメールアドレスに対しては、ワームはメールを送信しません。
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
このワームは、すべてのローカルディスクドライブから、"shar" という名前を含むフォルダを検索して、そのフォルダを発見したら、それらのフォルダに自分自身のコピーを次のファイル名でコピーします。
Microsoft Office 2003 Crack,
Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Porno pics arhive, xxx.exe
Serials.txt.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Matrix 3 Revolution English Subtitles.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
ACDSee 9.exe
このワームは、%system% ディレクトリに、irun4.exe というファイル名で自分自身をコピーします。このワームは、次のレジストリキーを作成して、システムの再起動時に活動を開始できるようにします。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" ssate.exe" = "%system%\irun4.exe"
このワームは、次のプログラムを停止することを試みます。
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE
このワームは、感染したコンピュータにおいて、TCPポート2745番のバックドアを開き、攻撃者が任意のプログラムを実行できるようにします。このワームは、次のアドレスに接続することを試みます。さらに開かれたポート番号を送信します。
http://postertog.de/scr.php
http://www.gfotxt.net/scr.php
http://www.maiklibis.de/scr.php
このワームは、2005年4月25日に活動を停止します。
Win32/Bagle.J は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.645にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
|