ウイルス情報

かかりやすさ:中

( W32.Bagle.Z.IWorm )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
W32/Bagle.ae@MM
更新日:
2004年7月5日(月)
■感染したらどうなる
  • 添付ファイルを実行すると、エラーを装った英語のメッセージが表示されます。
    次に、パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。
    インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    使用される拡張子は「.hta、.vbs、.exe、.scr、.com、.cpl、.zip」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    件名:以下のいずれかになります。
    Changes..
    Encrypted document
    Fax Message
    Forum notify
    Incoming message
    Notification
    Protected message
    Re: Document
    Re: Hello
    Re: Hi
    Re: Incoming Message
    RE: Incoming Msg
    RE: Message Notify
    Re: Msg reply
    RE: Protected message
    RE: Text message
    Re: Thank you!
    Re: Thanks :)
    Re: Yahoo!
    Site changes
    Update

    本文:以下のいずれかになります。
    Attach tells everything.
    Attached file tells everything.
    Check attached file for details.
    Check attached file.
    Here is the file.
    Message is in attach
    More info is in attach
    Pay attention at the attach.
    Please, have a look at the attached file.
    Please, read the document.
    Read the attach.
    See attach.
    See the attached file for details.
    Your document is attached.
    Your file is attached.

    添付ファイル:添付ファイルを実行すると、「Cant't find a viewer associated with the file」というエラーを装ったメッセージが表示されます。
    ファイル名は、以下の可能性があります。使用される拡張子は「.hta、.vbs、.exe、.scr、.com、.cpl、.zip」です。
    Information
    Details
    text_document
    Updates
    Readme
    Document
    Info
    MoreInfo
    Message
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。
    %System%\loader_name.exe
    %System%\loader_name.exeopen
    %System%\loader_name.exeopenopen

    %System%は、システムディレクトリで、OSによって以下の場所になります。
    C:\Windows\System (Windows 95/98/Me)
    C:\Winnt\System32 (Windows NT/2000)
    C:\Windows\System32 (Windows XP)
  • システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    reg_key = %System%\loader_name.exe

    以下の文字列を含む値を、レジストリから削除します。
    "My AV"
    "Zone Labs Client Ex"
    "9XHtProtect"
    "Antivirus"
    "Special Firewall Service"
    "service"
    "Tiny AV"
    "ICQNet"
    "HtProtect"
    "NetDy"
    "Jammer2nd"
    "FirewallSvr"
    "MsInfo"
    "SysMonXP"
    "EasyAV"
    "PandaAVEngine"
    "Norton Antivirus AV"
    "KasperskyAVEng"
    "SkynetsRevenge"
    "ICQ Net"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    .wab
    .txt
    .msg
    .htm
    .shtm
    .stm
    .xml
    .dbx
    .mbx
    .mdx
    .eml
    .nch
    .mmf
    .ods
    .cfg
    .asp
    .php
    .pl
    .wsh
    .adb
    .tbb
    .sht
    .xls
    .oft
    .uin
    .cgi
    .mht
    .dhtm
    .jsp
  • 自分自身を大量コピー
    「Shar」という名前を含むフォルダ名に以下のファイルをコピーします。
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Microsoft Office XP working Crack, Keygen.exe
    Porno, sex, oral, anal cool, awesome!!.exe
    Porno Screensaver.scr
    Serials.txt.exe
    KAV 5.0
    Kaspersky Antivirus 5.0
    Porno pics arhive, xxx.exe
    Windows Sourcecode update.doc.exe
    Ahead Nero 7.exe
    Windown Longhorn Beta Leak.exe
    Opera 8 New!.exe
    XXX hardcore images.exe
    WinAmp 6 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    Adobe Photoshop 9 full.exe
    Matrix 3 Revolution English Subtitles.exe
    ACDSee 9.exe
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート1234番が開かれ、不正なアクセスを許可してしまいます。

    ※このウイルスは、2005年1月25日(火)に感染活動を停止するようにプログラムされています。