HOME情報セキュリティ情報セキュリティ対策ウイルス対策「W32/Bagle」ウイルスの亜種に関する情報

本文を印刷する

情報セキュリティ

「W32/Bagle」ウイルスの亜種に関する情報

2004年 2月18日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

このウイルスは、メールの添付ファイルを介して感染を拡大します。下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
なお、このウイルスは2月18日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWeb サイトを参照して、最新のウイルス定義ファイルに更新して下さい。

>> ワクチンソフトに関する情報

影響を受けるシステム

Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP

概要

このウイルスは、「トロイの木馬型」のものであり、自身の複製をメールの添付ファイルとして拡散する活動を行います。

感染すると、自分自身を Windows の system ディレクトリに au.exe としてコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、メールの添付ファイルを開いたときに、サウンドレコーダ(sndrec32.exe)を起動させて、感染したことに気付かせないようにしています。

なお、このウイルスは、2004年2月25日を過ぎると活動しません。

メール送信活動:

感染したコンピュータ内のうち、特定の拡張子(.wab, .txt, .htm, .html)のファイルからメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。ただし、以下の5つの文字列が含まれるアドレスへは送信しません。

1).r1u 、2) @hotmail.com 、3) @msn.com 、4) @microsoft 、5) @avp.

メールの件名、本文、添付ファイルは次のようになり、差出人アドレスは詐称されます

  • 件名:
    ID 「ランダムな文字列」... thanks
  • 本文:
    Yours ID 「ランダムな文字列」
    --
    Thank
  • 差出人アドレス(From): コンピュータから取得できたアドレス
  • 添付ファイル名: ランダムな文字列.exe

バックドア機能:

TCPポート8866を開き、外部からの接続を待機します。

対応方法

添付ファイルを開くことなく、当該メールをそのまま削除して下さい。

最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」 して下さい。

修復方法

感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。
手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み自己の責任において使用して下さい。

修復ツール提供サイト

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧下さい。

更新履歴

2004年 2月18日 掲載