ウイルス情報

ベーグル・I

( W32.Bagle.I.IWorm )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

--

更新日：

2004年3月1日(月)

■感染したらどうなる

• パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
  さらに、攻撃者がパソコンに侵入するための入り口が作られてしまいます。

■感染しないためには

• メールに添付された添付ファイルを実行しないようにしてください。
  添付ファイルのファイル名はランダムに変化しますが、使用される拡張子は.ZIPです。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  送信者:詐称されています。
  件名:以下のいずれかになります。
  Hokki =)
  Weah, hello! :-)
  Weeeeee! ;)))
  Hi! :-)
  ello! =))
  Hey, ya! =))
  ^_^ meay-meay!
  ^_^ meay-meay!
  ^_^ mew-mew (-:本文:以下のいずれかになります。
  Hey, dude, it's me ^_^ :P
  Argh, i don't like the plaintext :)
  You have won!!!
  The access is open !!!
  
  以下のような文章でパスワード情報を含みます。
  btw <ランダムな文字> is a password for archive
  
  添付ファイル:以下のいずれかになります。
  TextDocument
  Readme
  Msg
  Msginfo
  Document
  Info
  Attachedfile
  Attacheddocument
  TextDocument
  Text
  TextFile
  Letter
  MoreInfo
  Message
  使用される拡張子は.zipです。
  5文字のパスワードで保護された.exeファイルが含まれています。
  解凍するとフォルダのアイコンを装ったファイルが現われます。
  
  添付ファイルを実行すると、i11r54n4.exeというプログラムがシステムディレクトリにインストールされて、以下のファイルをコピーします。
  go154o.exe
  i1i5n1j4.exe
  i11r54n4.exeopen
  
• 以下のレジストリの値を作成します。
  HKEY_CURRENT_USER?SOFTWARE?Microsoft?Windows?CurrentVersion?Run
  
• 攻撃者が侵入するためのTCPポート2745という裏口を開けます。
  
• 以下のプログラムを強制終了します。
  Atupdater.exe
  Aupdate.exe
  Autodown.exe
  Autotrace.exe
  Autoupdate.exe
  Avltmain.exe
  Avpupd.exe
  Avwupd32.exe
  Avxquar.exe
  Cfiaudit.exe
  Drwebupw.exe
  Icssuppnt.exe
  Icsupp95.exe
  Luall.exe
  Mcupdate.exe
  Nupgrade.exe
  Outpost.exe
  Update.exe
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  .wab
  .txt
  .htm
  .html
  .dbx
  .mdx
  .eml
  .nch
  .mmf
  .ods
  .cfg
  .asp
  .php
  .pl
  .adb
  .sht
  
  しかし、以下のメールアドレスに対しては送信されません。
  .gr
  @hotmail.com
  @msn.com
  @microsoft
  @avp.
  noreply
  local
  root@
  postmaster@