キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/Bagle.FA
公開日:2006年02月07日
このウイルスに関する危険度 :■■■□□

ウイルス名 Win32/Bagle.FA
別名:Email-Worm.Win32.Bagle.fj , W32.Beagle.DL@mm
対応定義ファイル 1.1392(20060202) 以降
ウイルスの対処方法 検出ファイルを削除してください
ウイルス駆除ツール 公開中 [ 駆除ツールについてはこちら ]
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中

※参考

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

Win32/Bagle.FA は、マスメーリング活動とP2Pネットワーク経由で拡散するダウンローダー機能を持つワームです。

このワームが実行されると、自分自身のコピーを %system% ディレクトリに" sysformat.exe"というファイル名で作成します。

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" sysformat" = "%System%\sysformat.exe"

また、次のレジストリーキーを変更します。

HKCU\Software\Microsoft\Params
" FirstRun" = "1"
" Riga" = "{ランダムな文字列}"

さらに、次のレジストリーキーを変更し、システムのセキュリティ設定を
低下させます。

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
" Start" = "4"

また、次のレジストリーキーから"My AV"と"ICQ Net"の削除を試みます。

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

このワームが初めて実行される際、メモ帳が起動します。

このワームは、次のプログラムの停止を試みます。

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

このワームは、感染したコンピュータに存在する全てのドライブを検索し、次の拡張子を持つファイルから
メールアドレスを収集します。

.adb .asp .cfg .dbx .dhtm .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft
.php .sht .shtm .shtml .stm .tbb .txt .uin .wab.wsh .xls .xml

メールアドレスを収集している間、"mysuperprog1.exe"と"mysuperprog2.exe"を削除する為に
" mysuperprog.exe"を削除し、"aaa.exe"と"bbb.exe"の検出を試みます。

このワームは、自分自身の送信先のドメインに対して、適切なメールサーバを検出する為に、DNSに解決を要求します。このDNS要求が失敗した場合、DNSとして"217.5.97.137"を使用します。

このワームは、メールの送信に収集したメールアドレスを使用します。メールの送信には、独自のSMTPエンジンを使用します。

このワームが送信するメールの題名は、次のリストからランダムに選択されます。

price
February price

このメールの本文には、次の文字列が含まれます。

price
February price

このメールには、ZIP形式またはEXE形式のファイルが添付されています。このファイルは、ワーム自身のコピーで、次のいずれかのファイル名がランダムに使用されています。

price
pricelst
pricelist
price_lst
new_price
February_price
21_price

このワームは、次の文字列を含むメールアドレスには、送信しません。

@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
Noreply
local
root@
postmaster@

メールアドレスを収集している間、文字列"shar"を含むフォルダを検索します。このフォルダが存在した場合、このフォルダに自分自身のコピーの作成を試み、次のファイルを作成します。

1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

このワームは、次のサイトにアクセスするのを避ける為、次のデータで現在のhostsファイルを上書きします。

127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1392(20060202) にて対応しています。

このページのトップへ

(C)Canon IT Solutions Inc.