| 対応定義ファイル | Win32/Bagle.AQ
定義ファイルバージョン 1.880 (20040928) 以降で対応済みです。 |
| ウイルスの対処方法 | 検出ファイルを削除してください |
| ウイルスに関する危険度 | 3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Bagle.AQ
NOD32アンチウイルスで Win32/Bagle.AQ として検出するウイルスは、他社アンチウイルスソフトウェアでは W32.Beagle.AR, W32/Bagle.az, WORM_BAGLE.AM として検出することがあります。Win32/Bagle.AQ は、電子メールの添付ファイルおよびP2Pネットワークの共有フォルダで拡散するワームです。 注意:
Windowsオペレーティングシステムがインストールされたディレクトリを %windir% と表記しており、インストール時の設定により異なる場合があります。 %windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
このワームが送信するメールの題名は次のいずれかになります。 Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :) このメッセージには実行ファイルが添付されています。添付ファイル名は次のいずれかになります。 Joke
Price
price 添付ファイルの拡張子は、次のいずれかになります。 exe
scr
com
cpl 電子メールの本文は、 ":)" または ":))" です。 Win32/Bagle.AQ が実行されると、自分自身を %system% ディレクトリに"bawindo.exe" というファイル名でコピーします。このワームは、Windowsの再起動時に実行されるよう、"bawindo" という名前で次のレジストリキーを作成します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"bawindo.exe" = "%system%\bawindo.exe" このワームはレジストリキー HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run から、次の値を削除することを試みます。 9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex このワームは、次のプロセスを停止することを試みます。 alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe このワームは電子メールを経由して感染を広めるために、次の拡張子を持つファイルからメールアドレスを取得します。 .adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml ただし、次の文字列を含むアドレスには送信しません。 @avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip Win32/Bagle.AQ は、P2Pネットワークの共有フォルダを利用して感染を広めるために、すべてのローカルディスクドライブから "shar" という文字列を含むフォルダを検索し、次のファイル名で自分自身のコピーを作成します。 ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe Win32/Bagle.AQ は、バックドアを仕掛けて、TCPポート 81番を開きます。このワームは、145のURLのうちの1つから ws.jpg のダウンロードを試みます。ダウンロードが成功した時、 ws.jpg は実行されます。 Win32/Bagle.AQ は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.880にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。 | 
