| 対応定義ファイル | Win32/Bagle.AI
定義ファイルバージョン 1.836 (20040809) 以降で対応済みです。 |
| ウイルスの対処方法 | 検出ファイルを削除してください |
| ウイルスに関する危険度 | 3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Bagle.AI
NOD32アンチウイルスで Win32/Bagle.AI として検出するウイルスは、他社アンチウイルスソフトウェアでは Bagle.AC または Bagle.AQ として検出することがあります。 Win32/Bagle.AI は、電子メールの添付ファイルで拡散するワームです。このメールの添付ファイルは、2つのファイル(price.html と price.exe)を含むZIPファイルです。 price.html が開かれた時、price.exe が実行されます。 price.exe のサイズは14,848バイトです。これが実行されると、WINDirect.exe の名前で %system% フォルダに自身のコピーを作成します。また、次のレジストリーキーに win_upd2.exe という値を挿入します。 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WINDirect.exe は、11,776バイトのダウンロードプログラム(ダウンローダー)を%system%\_dll.exe として作成します。このダウンローダーは、explorer.exe プロセスに対して、次のプロセスを停止させることを試みるためのコードを埋め込みます。 ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
sys_xp.exe
sysxp.exe
winxp.exe このダウンローダーは、ダウンロードを繰り返し試みるための204個のURLを保有しています。ダウンロードされたファイルは、%windir% フォルダに保存されて、実行されます。ダウンロードされるファイルの大きさは約19KBです。このファイルは、%system%\windll.exe に自身をコピーし、同じフォルダ内に「windll.exeopen」と「windll.exeopenopen」を作成します。(これらのファイルの内容は、windll.exeと同一です) このワームは、すべてのローカルドライブを検索して、次の拡張子を持つファイルからメールアドレスを取得します。 .adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh ただし、このワームは、次の文字列を含むアドレスには送信しません。 @avp.
@derewrdgrs
@eerswqe
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip このワームが収集したアドレスに送信する電子メールの件名は、件名は空白です。本文は"price"または"new price"のいずれかです。メールにはZIP形式に圧縮されたファイル(拡張子は.zip)が添付され、そのファイル名は次のいずれかになります。 08_price
new_price
new__price
newprice
price
price2
price_08
price_new さらにこのワームは、"shar"という文字列を含むフォルダに自身をコピーすることで、感染を広げようとします。その際、次のファイル名を使用します。 ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
KAV 5.0
Kaspersky Antivirus 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe メール送信機能に加えて、Bagle.AIが作成するダウンローダーは、さらにもうひとつの実行ファイルをダウンロードします。このファイルの大きさは2,052バイトです。
このファイルは初回起動時に、http://www.die-cliquee.de/get.php に接続することを試みます。接続が成功した場合、ファイルがダウンロードされて、%windir% にランダムなファイル名で保存され、実行されます。 Win32/Bagle.AI は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。 NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.836にて対応しています。 NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。 | 
