ウイルス情報
かかりやすさ:中
ベーグル・I
( W32.Bagle.I.IWorm )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- --
- 更新日:
- 2004年3月1日(月)
- ■感染したらどうなる
-
- パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
さらに、攻撃者がパソコンに侵入するための入り口が作られてしまいます。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
添付ファイルのファイル名はランダムに変化しますが、使用される拡張子は.ZIPです。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
送信者:詐称されています。
件名:以下のいずれかになります。
Hokki =)
Weah, hello! :-)
Weeeeee! ;)))
Hi! :-)
ello! =))
Hey, ya! =))
^_^ meay-meay!
^_^ meay-meay!
^_^ mew-mew (-:本文:以下のいずれかになります。
Hey, dude, it's me ^_^ :P
Argh, i don't like the plaintext :)
You have won!!!
The access is open !!!
以下のような文章でパスワード情報を含みます。
btw <ランダムな文字> is a password for archive
添付ファイル:以下のいずれかになります。
TextDocument
Readme
Msg
Msginfo
Document
Info
Attachedfile
Attacheddocument
TextDocument
Text
TextFile
Letter
MoreInfo
Message
使用される拡張子は.zipです。
5文字のパスワードで保護された.exeファイルが含まれています。
解凍するとフォルダのアイコンを装ったファイルが現われます。
添付ファイルを実行すると、i11r54n4.exeというプログラムがシステムディレクトリにインストールされて、以下のファイルをコピーします。
go154o.exe
i1i5n1j4.exe
i11r54n4.exeopen
- 以下のレジストリの値を作成します。
HKEY_CURRENT_USER?SOFTWARE?Microsoft?Windows?CurrentVersion?Run
- 攻撃者が侵入するためのTCPポート2745という裏口を開けます。
- 以下のプログラムを強制終了します。
Atupdater.exe
Aupdate.exe
Autodown.exe
Autotrace.exe
Autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
Outpost.exe
Update.exe
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
.wab
.txt
.htm
.html
.dbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.adb
.sht
しかし、以下のメールアドレスに対しては送信されません。
.gr
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@