■Win32/Bagle.U
Win32/Bagle.U は、電子メールの添付ファイルで拡散するワームです。このワームは、FSGユーティリティによって圧縮されており、サイズは8,208バイトです。
このワームが実行されると、ワームは自分自身のコピーを次のファイルで作成します。
%SysDir%\gigabit.exe
ここで、%SysDir% は、Windowsのシステムフォルダです。
このワームは、次のレジストリキーを作成して、システムの再起動時に活動を開始できるようにします。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"
gigabit.exe" = "%SysDir%\gigabit.exe"
さらに、このワームは、次のレジストリにいくつかの値を作成します。
HKEY_CURRENT_USER\SOFTWARE\Windows2004
このワームは、感染したコンピュータにバックドアを仕掛けて、TCP4751番ポートを開きます。これはリモートから任意のプログラムを実行できることを可能にします。
このワームは、Windowsに標準でインストールされているゲームプログラムである Mshearts.exe
を実行することを試みます。
このワームは、感染したことをあるWebサーバーに接続して通知します。
このワームは拡散を広げるために、すべてのローカルドライブを検索して、次の拡張子をもつファイルからメールアドレスを取得します。
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
このワームが送信する電子メールは、以下のようになります。
題名:[無し]
本文:[無し]
添付ファイル:[ランダムな文字列].exe
ただし、メールアドレスに次の文字列が含まれる場合は、このワームは自分自身を送信しません。
@avp
@microsoft
このワームはシステムの日付が2005年1月1日以降であるとき、その活動を停止します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.694にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。