 |
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Bagle.HE ワームが実行されると、ワームは自分自身を次の場所へコピーします。
| |
Documents and Settings\All
Users\Application Data\hidn\hldrrr.exe |
| |
Documents and Settings\All
Users\Application Data\hidn\hidn2.exe |
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。ワームは実行可能なパスを含みます。
| |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drv_st_key |
次のレジストリを削除します。
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot |
次のテキストがメモ帳に表示されます。
■電子メール経由の拡散について
ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。
| |
adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
msg
nch
nmf
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml |
次の文字列を含むアドレスは避けます。
| |
..
.@
@.
@avp.
@foo
@iana
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip |
ワームは、いくつかのアドレスを適当なものを生成するかインターネットから取ります。件名(Subject)は、次のうちの1つです。
添付は、ZIPアーカイブ形式でワームが実行可能なプログラムが含まれています。添付されたファイルの名前は次のうちの1つです。
| |
latest_price
new_price
price |
実行可能な内部の名前は適当に当てられます。
■その他の情報
ワームは、60ものURLリストを持っており、そのアドレスからいくつかのダウンロードを試みます。ダウンロードするとファイルは実行されます。
|
