ウイルス情報

かかりやすさ:中

( Worm.Bagle.AA )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
W32/Bagle.ad@MM
更新日:
2004年7月4日(日)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。 インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    使用される拡張子は「.exe 、.com、.scr、.cpl、.vbs、.hta、.zip」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    件名:以下のいずれかの可能性があります。
    Re: Msg reply
    Re: Hello
    Re: Yahoo!
    Re: Thank you!
    Re: Thanks :)
    RE: Text message
    Re: Document
    Incoming message
    Re: Incoming Message
    RE: Incoming Msg
    RE: Message Notify
    Notification
    Changes..
    Update
    Fax Message
    Protected message
    RE: Protected message
    Forum notify
    Site changes
    Re: Hi
    Encrypted document,0

    本文:さまざまな本文が作成されます。
    暗号化された添付ファイルのパスワードが含まれる場合もあります(本文、または画像)。

    添付ファイル:ファイル名は、以下の可能性があります。
    使用される拡張子は「.exe 、.com、.scr、.cpl、.vbs、.hta、.zip」です。
    Information
    Details
    text_document
    Updates
    Readme
    Document
    Info
    Details
    MoreInfo
    Message

    ※添付ファイルの拡張子が「.zip」の場合、パスワード保護されたファイルの可能性があります。
    パスワードは本文、または画像に記載されています。
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。
    %System%\loader_name.exe

    同じ場所に以下が作成されます。
    loader_name.exeopen
    loader_name.exeopenopen

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    reg_key = %System%\loader_name.exe

    %System%は、システムディレクトリです。
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    .wab
    .txt
    .msg
    .htm
    .shtm
    .stm
    .xml
    .dbx
    .mbx
    .mdx
    .eml
    .nch
    .mmf
    .ods
    .cfg
    .asp
    .php
    .pl
    .wsh
    .adb
    .tbb
    .sht
    .xls
    .oft
    .uin
    .cgi
    .mht
    .dhtm
    .jsp

    以下の文字列を含むアドレスには送信しません。
    @hotmail
    @msn
    @microsoft
    rating@
    f-secur
    news
    update
    anyone@
    bugs@
    contract@
    feste
    gold-certs@
    help@
    info@
    nobody@
    noone@
    kasp
    admin
    icrosoft
    support
    ntivi
    unix
    bsd
    linux
    listserv
    certific
    sopho
    @foo
    @iana
    free-av
    @messagelab
    winzip
    google
    winrar
    samples
    abuse
    panda
    cafee
    spam
    pgp
    @avp.
    noreply
    local
    root@
    postmaster
  • 自分自身を大量コピー
    「Shar」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、以下のファイルをコピーします。
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Microsoft Office XP working Crack, Keygen.exe
    Porno, sex, oral, anal cool, awesome!!.exe
    Porno Screensaver.scr
    Serials.txt.exe
    KAV 5.0
    Kaspersky Antivirus 5.0
    Porno pics arhive, xxx.exe
    Windows Sourcecode update.doc.exe
    Ahead Nero 7.exe
    Windown Longhorn Beta Leak.exe
    Opera 8 New!.exe
    XXX hardcore images.exe
    WinAmp 6 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    Adobe Photoshop 9 full.exe
    Matrix 3 Revolution English Subtitles.exe
    ACDSee 9.exe,0
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート1234番が開かれ、不正なアクセスを許可してしまいます。

    ※このウイルスは、2005年1月25日(火)に感染活動を停止するようにプログラムされています。