最終更新日:2004年 3月22日
更新履歴
2004年 3月19日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
このウイルスは、Internet Explorerの既知のセキュリティホール (MS03-040のOBJECTタグに関する脆弱性)を悪用したウイルスで、メールで感染を広げます。
今まで出現している亜種と異なり、添付ファイルを開かなくても感染するので注意が必要です。
下記概要に示すようなメールを受け取った場合は、メールを決して開くことなく、削除して下さい。
なお、このウイルスは3月17日に出現しており、それ以降にワクチンソフトの定義ファイルを更新していないと発見できない可能性が高いので、各ワクチンベンダーのWeb サイトを参照して、最新のウイルス定義ファイルに更新して下さい。
影響を受けるシステム
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP
概要
このウイルスは、メールで感染を広げます。このウイルスが送信するメールにはURL が埋め込まれています。このメールをOutlook Express でプレビュー、またはOutlook で開くと自動でURL にアクセスし、 HTML ファイルをダウンロードします。
このHTMLファイルはWindows の system ディレクトリに"Q.VBS"を作成します。作成されたVBSファイルは不正サイトよりウイルス本体をダウンロードし、実行します。この際ダウンロードするときはランダムなファイル名でJPEGの拡張子を使用します。このファイルはWindows の system ディレクトリに保存され、保存の際に"SM.EXE"というファイル名で保存されます。
感染すると、ウイルスは自分自身を DIRECTS.EXEというファイル名でWindows のsystem ディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、このウイルスは"shar"という文字列を含むフォルダ内に自分自身のコピーを作成します。これにより、ファイル共有ネットワークを介して感染を広げます。
なお、このウイルスは、2006年以降は活動しません。
メール送信活動:
感染したコンピュータ内のうち、特定の拡張子(.wab, .txt, .htm等)のファイルからメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。
メールの件名、本文、添付ファイルは次のようになり、差出人アドレスは詐称されます
- 件名:
- E-mail account security warning.
- Notify about using the e-mail account.
- Warning about your e-mail account.
- Important notify about your e-mail account.
- Email account utilization warning.
- 本文: <HTML形式>
- 添付ファイル: <なし>
バックドア機能:
TCPポート2556を開き、外部からの接続を待機します。
Webサーバ機能:
単純で簡略化されたWebサーバをインストールし、TCPポート81によりPHPおよびJPEGのファイル転送を行います。
プロセスの強制終了:
ウイルス対策ソフト等のプロセスを強制終了します。
対応方法
メールをプレビューしたり開くことなく、そのまま削除して下さい。
最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」して下さい。
ウイルスはTCPポート81を利用して感染するので、TCPポート81をふさいでも問題ない場合は、このポートをふさぐことにより感染を防ぐことができます。
修復方法
感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。
手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。
修復ツール提供サイト
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- アンラボ:
Win32/Bagle.worm.P : http://japan.ahnlab.com/virusinfo/view.asp?seq=831
Win32/Bagle.worm.Q : http://japan.ahnlab.com/virusinfo/view.asp?seq=832
Win32/Bagle.worm.R : http://japan.ahnlab.com/virusinfo/view.asp?seq=833
Win32/Bagle.worm.S : http://japan.ahnlab.com/virusinfo/view.asp?seq=834 - シマンテック:
W32.Beagle.O@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.beagle.o@mm.html
W32.Beagle.R@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.beagle.r@mm.html
W32.Beagle.S@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.beagle.s@mm.html
W32.Beagle.T@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.beagle.t@mm.html - ソフォス:
W32/Bagle-Q : http://www.sophos.co.jp/virusinfo/analyses/w32bagleq.html
W32/Bagle-R : http://www.sophos.co.jp/virusinfo/analyses/w32bagler.html - トレンドマイクロ:
PE_BAGLE.Q : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=PE_BAGLE.Q
PE_BAGLE.R : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=PE_BAGLE.R
PE_BAGLE.S : http://www.trendmicro.com/vinfo/virusencyclo/
default5.asp?VName=PE_BAGLE.S
PE_BAGLE.T : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=PE_BAGLE.T - 日本エフセキュア:
Bagle.Q : http://www.f-secure.co.jp/v-descs/v-descs3/bagleq.htm
Bagle.R : http://www.f-secure.co.jp/v-descs/v-descs3/bagler.htm
Bagle.S : http://www.f-secure.co.jp/v-descs/v-descs3/bagles.htm
Bagle.T : http://www.f-secure.co.jp/v-descs/v-descs3/baglet.htm - 日本ネットワークアソシエイツ:
W32/Bagle.q@MM : http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.q@MM
W32/Bagle.r@MM : http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.r@MM
W32/Bagle.s@MM : http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.s@MM
W32/Bagle.t@MM : http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.t@MM
ウイルス対策のトップページはこちらをご覧下さい。
更新履歴
2004年 3月22日 | 亜種の情報(Bagle.R,S,T)を追加。概要の記述を修正。修復ツール提供サイトの情報追加。 |
---|---|
2004年 3月19日 | 掲載 |