Win32/Bagle.DR は、電子メールで拡散するワームで、これまでに3つの異なるコンポーネントがあることがわかっています。
※参考
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
ダウンローダーのサイズはおよそ3KBであり、電子メールに添付されて送信されます。それが実行されると、あるURLから1つのファイルがダウンロードされて、%system%
フォルダにランダムなファイル名で保存されて、すぐに実行されます。このダウンロードされた実行ファイルは、マスメーリング活動を行います。
このマスメーリング活動を行うコンポーネントのサイズは、およそ20KBです。それが実行されると、自分自身のコピーを"wind2ll2.exe"というファイル名で、%system%
フォルダにコピーします。
さらに、コンピュータの再起動時に活動を開始できるように、次のレジストリに、"
erfgddfk"というエントリーを作成して、wind2ll2.exeへのパスを追加します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
このワームは、他のいくつかのワームに関連したレジストリエントリーを削除します。
この実行ファイルの内部には、ZIP圧縮されたもう一つのコンポーネントがあり、電子メールでさらに拡散するための小さなダウンローダーが組み込まれています。
このワームが送信する電子メールの題名は、次のいずれかになります。ZIP圧縮された添付ファイルのファイル名にも使われます。
Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Constance
Cybil
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuel
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
Christean
Christian
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede
電子メールの本文は、次の行が含まれています。
All-foto
AN-FOTO
D-Foto
FOTO-1
FOTO-2
FOTO-3
FOTO-4
foto-bank
foto-books
FOTO-DIGITAL
foto-flower
foto-forum
Foto-War
FOTO HOME
foto land
Foto Portal
foto telephone
Foto&Video
Foto.Md
Internet-foto
m-foto
MAIL.FOTO
my foto
OK-FOTO
S-Foto
VIP-foto
web-foto
この添付ファイルは、"123.exe"という実行ファイルを含んでおり、サイズはおよそ9KBです。このファイルが実行されると、自分自身のコピーを"
anti_troj.exe"というファイル名で、%system% フォルダにコピーします。
さらに、コンピュータの再起動時に活動を開始できるように、次のレジストリに、"
anti_troj"というエントリーを作成して、anti_troj.exeへのパスを追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
これが実行されると、初めの1回目だけ、%system%\ntimage.gifという画像が表示されて、
レジストリエントリー HKEY_CURRENT_USER\Software\FirstRRRun\FirstRRRun が作成されます。
ダウンローダーは、51個のURLリストを持っており、それらのURLから繰り返しファイルのダウンロードを試みます。ダウンロードが成功すると、%system%\exefld
フォルダにランダムなファイル名で保存されます。
NOD32アンチウイルスは、アドバンスドヒューリスティック機能によって、ウイルス定義ファイルの更新を行なうことなく、Win32/Bagle.DR
の3つのコンポーネントをすべて検出することができます。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.1301 にて対応しています。 |