ウイルス情報
かかりやすさ:中
ベーグル・Z
( W32.Bagle.Z.IWorm )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- W32/Bagle.ae@MM
- 更新日:
- 2004年7月5日(月)
- ■感染したらどうなる
-
- 添付ファイルを実行すると、エラーを装った英語のメッセージが表示されます。
次に、パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。
インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
使用される拡張子は「.hta、.vbs、.exe、.scr、.com、.cpl、.zip」です。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:以下のいずれかになります。
Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update
本文:以下のいずれかになります。
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Here is the file.
Message is in attach
More info is in attach
Pay attention at the attach.
Please, have a look at the attached file.
Please, read the document.
Read the attach.
See attach.
See the attached file for details.
Your document is attached.
Your file is attached.
添付ファイル:添付ファイルを実行すると、「Cant't find a viewer associated with the file」というエラーを装ったメッセージが表示されます。
ファイル名は、以下の可能性があります。使用される拡張子は「.hta、.vbs、.exe、.scr、.com、.cpl、.zip」です。
Information
Details
text_document
Updates
Readme
Document
Info
MoreInfo
Message
- レジストリの値を作成
添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
以下に自分自身をコピーします。
%System%\loader_name.exe
%System%\loader_name.exeopen
%System%\loader_name.exeopenopen
%System%は、システムディレクトリで、OSによって以下の場所になります。
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)
- システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reg_key = %System%\loader_name.exe
以下の文字列を含む値を、レジストリから削除します。
"My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus AV"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
- 自分自身を大量コピー
「Shar」という名前を含むフォルダ名に以下のファイルをコピーします。
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
- 不正アクセスの許可
このウイルスに感染すると、TCPポート1234番が開かれ、不正なアクセスを許可してしまいます。
※このウイルスは、2005年1月25日(火)に感染活動を停止するようにプログラムされています。