ウイルス情報
かかりやすさ:中
ベーグル・AA
( Worm.Bagle.AA )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- W32/Bagle.ad@MM
- 更新日:
- 2004年7月4日(日)
- ■感染したらどうなる
-
- パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。 インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
使用される拡張子は「.exe 、.com、.scr、.cpl、.vbs、.hta、.zip」です。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:以下のいずれかの可能性があります。
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document,0
本文:さまざまな本文が作成されます。
暗号化された添付ファイルのパスワードが含まれる場合もあります(本文、または画像)。
添付ファイル:ファイル名は、以下の可能性があります。
使用される拡張子は「.exe 、.com、.scr、.cpl、.vbs、.hta、.zip」です。
Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message
※添付ファイルの拡張子が「.zip」の場合、パスワード保護されたファイルの可能性があります。
パスワードは本文、または画像に記載されています。
- レジストリの値を作成
添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
以下に自分自身をコピーします。
%System%\loader_name.exe
同じ場所に以下が作成されます。
loader_name.exeopen
loader_name.exeopenopen
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reg_key = %System%\loader_name.exe
%System%は、システムディレクトリです。
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
以下の文字列を含むアドレスには送信しません。
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster
- 自分自身を大量コピー
「Shar」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、以下のファイルをコピーします。
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe,0
- 不正アクセスの許可
このウイルスに感染すると、TCPポート1234番が開かれ、不正なアクセスを許可してしまいます。
※このウイルスは、2005年1月25日(火)に感染活動を停止するようにプログラムされています。