BAGLE,WORM_BAGLE.A,W32.Beagle.A@mm,W32/BAGLE-A
トレンドマイクロが2004年1月19日に警告した,メールで感染を広げるタイプのマスメーリング型のワーム。
送信されてきたメールの添付ファイルを実行すると感染し,感染する可能性のある OS は,Windows 95/98/Me/NT/2000/XP。
添付ファイルは Windows 標準の電卓のアイコンで,実行すると実際に電卓が立ち上がるが,それと共に感染活動が始まる。
感染すると,Windows のシステムディレクトリに ¥BBEAGLE.EXE を作成,
Windows 起動時に BBEAGLE.EXE が自動実行されるようレジストリを改変。
送信先アドレスを,PC 内の WAB・TXT・HTM・HTML ファイルから収集,
メールに自分自身のコピーを添付ファイルとして送信。
また,URLリストを備えており,「特定のURL+1.php」というサイトにアクセスを試みようとする。
これはワーム自身をアップデートするためと推測されている。
アクセスの際にポートスキャンを行なうこともあるという。
1月28日に自己破壊するように設定されている。
2004年3月,日本ネットワークアソシエイツなどウイルス対策ベンダー各社は,この亜種が6種類新たに発生していると警告。
2月28日以降3月4日までに Bagle.D/E/F/G/H/J が発見された。
Bagle.B,Beagle.B
2004年2月17日に警告された,大量メール送信型のトロイの木馬型ウイルス。
感染すると,Windows のシステムフォルダに自分自身を複製し,レジストリを改変する。
その後,TCP 8866番ポートにバックドアを仕掛ける。
PC 内にある .txt,.htm,.html のファイルからメールアドレスを収集し,独自の SMTP エンジンを利用して自分自身を送信する。
ただし @hotmail.com,@msn.com,@microsoft,@avp. を含むメールアドレスに対しては送信されない。
2月25日で活動を停止するようにプログラムされている。
Beagle.C
2004年2月27日に警告されたトロイの木馬型のウイルスで,2月中旬に流行した Bagle.B の亜種。
送信されてきても添付ファイルをクリックしなければ感染しない。
感染すると Windows のシステムファイルに readme.exe(ウイルス自身のコピー),onde.exe(メール送信に使用するライブラリ),doc.exe(DLL ローダプログラム),readme.exeopen(ウイルスメールの添付ファイル用コピー)を作成。
PC 内の拡張子 html,php,txt,wab などからメールアドレスを収集し,自分自身のコピーを添付して送信。
TCPポート2745番(それ以外の可能性もあり)を開き,外部からの接続を待ち,外部サイトに接続し,感染していることを報告。
atupdater.ex,autoupdate.exe,outpost.exe などのプロセスを強制終了させる。
4月14日で活動を停止する。
Bagle.H
トロイの木馬型ウイルスで,自分自身のコピーを大量送信,P2P ファイル共有ソフトでの感染拡大を図る。
送信するメールの件名や本文はランダムで選択され,添付ファイルはパスワードで保護された ZIP ファイル。
TCPポート2745番を開き,外部からの接続を待つ。
shar の語句を含むフォルダにファイルを作成し,ファイル共有ソフトを介した感染を試みる。
2005年3月25日以降活動を停止する。
Bagle.J
トロイの木馬型ウイルスで,メールによる大量送信と P2P ファイル共有ソフトでの感染拡大を図る。
件名や本文はランダムで,添付ファイルは,パスワードで保護された,ZIP ファイル,EXE ファイル,PIX ファイルから選択される。
TCPポート2745番を開き,外部からの接続を待つ。
shar の語句を含むフォルダにファイルを作成し,ファイル共有ソフトを介した感染を試みる。
2005年4月25日以降に活動を停止する。
Bagle.Q,PE_BAGLE.Q
トレンドマイクロが2004年3月18日に警告した,HTML メールで送信されてくるネットワーク感染型ウイルス。
IE の脆弱性 MS03-040 を利用し,Windows 95/98/Me/NT/2000/XP に感染する。
ユーザーがメールを開くと,設定された特定の Web サイトに自動的に接続,サイトからウイルスが PC に侵入する。
また,ネットワーク上の共有フォルダ経由でも感染する。
感染すると shar という文字列を含むフォルダ内にウイルス自身のコピーを EXE ファイルで生成。
TCP256 ポートやそのほかのランダムなポートをバックドアとして開放する。
Bagle.Z,Beagle.W,BAGLE.X
2004年4月26日に警告されたウイルス,Baglev の亜種。
自分自身のコピーをメールに添付して送信し,ネットワーク共有やP2Pファイル共有ソフトを利用して感染拡大を図る。
感染すると,Can't find a viewer associated with the file と書かれた偽のエラーメッセージを表示。
次に Windows のシステムフォルダに Drvsys.exe,Drvsys.exeopen,Drvsys.exeopenopen というファイル名で自分自身をコピー。
レジストリを改変し,Windows 起動時に自動実行されるようにする。
感染した PC 内の拡張子 htm,txt などのファイルからメールアドレスを収集。
送信者名や件名,メール本文,添付ファイルなどをランダムな組み合わせにして送信。
PC のローカルドライブ内から shar という文字列を含むフォルダを探し出し,自分自身をコピーする。
ANTIVIRUS.EXE,NDD32.EXE,ZONEALARM.EXE などのセキュリティ対策ソフトを強制終了し,ポート2535番を開いて外部からの接続を待つ。
その際,複数の Web サイトへアクセスし,開いたポート番号を報告しようとする。
なお,システム時刻が2005年1月25日以降になった場合には,レジストリを削除して自身の活動を停止する。
Beagle.AB,W32.Beagle.AB@mm
2004年7月に警告されたウイルス。
独自の SMTP エンジンで自分自身をメールに貼付して拡散,TCPポート1080にバックドアを開き,感染した PC を“踏み台”としてメール送信に利用する。
感染すると,7つのミューテックスを作成,これで Netsky の一部亜種の活動を阻止する。
文字列 shar を含むフォルダ全てに自分自身のコピーを作成。
システムの日付が2005年1月25日以降の場合は,活動を終了し自身のレジストリ値や特定のレジストリキーを削除する。
Bagle.ad,W32/Bagle.ad,Beagle.Y
2004年7月6日に警告されたウイルス。
Bagle の亜種で自分自身のコピーを任意のアドレスに添付して送信する。
これまで同様「Re: Hello」「Re: Thank you!」などの件名が付けられたEメールで届けられ,添付ファイルを実行すると感染。
感染すると,ファイル名が loader_name.exe である場合を除き,Can't find a viewer associated with the file というエラーメッセージを表示,その間に,自分自身のコピーを Windows のシステムフォルダ内にコピーし,レジストリを改変。
バックドアを作成し,感染 PC の情報漏洩を図る。
htm や txt,wab などの拡張子のファイルを検索してメールアドレスを収集,メールメッセージを作成し,自身の SMTP エンジンで送り出す。
送信時に拡張子 .cpl を使う点が特徴で,ZIP 形式で圧縮したソースコードを添付するケースもある。
送信アドレスを詐称し,件名やメール本文,添付ファイル名などは複数の候補からランダムに選ぶ。
アセンブラ言語で書かれたソースコードは,本文に暗号化されて格納されており,
自身を拡散する際に SOURCES.ZIP というパスワード付き圧縮ファイルにまとめて添付する場合がある。
P2P アプリケーションのフォルダにも自身をコピー。
shar という文字列を含むフォルダすべてに自分自身のコピーを作成し,ファイル交換ソフトでの感染拡大を図る。
また,ウイルス Netsky が利用するレジストリを削除する。
Bagle.aq,WORM_BAGLE.AC,W32.Beagle.AO@mm
2004年9月にシマンテックが警告したメール添付型ウイルス。
添付されるファイル名は fotos.zip。
感染すると,Windows のシステムフォルダに自分自身を WINDLL.EXE,WINDLL.EXEOPEN,WINDLL.EXEOPENOPEN としてコピー。
fotos.zip を展開するとシステムフォルダに,自身のコピーである Doriot.exe と,ダウンロードモジュールの Gdqfw.exe を作成する。
Gdqfw.exe を利用して,120以上の Web サイトに接続して外部ソースをダウンロード。
システムフォルダに _re_file.exe とするファイルをダウンロードして,実行する。
レジストリを改変,感染した PC 内の拡張子 .wab や .htm などのファイルからメールアドレスを収集し,独自の SMTP エンジンを用いて,自身を添付したメールを送信。
shar という語句を含むフォルダにファイルを作成,FIREWALL.EXE や UPDATE.EXE といったセキュリティ関連ソフトなどのプロセスを終了させ。
複数のサイトからファイルのダウンロードを試み,TCP 2480番ポートを開き,リモートからの接続に待機する。
また,TCP 80番ポートとUDP 80番ポートにバックドアを開き,不正なリモートアクセスを許可。
7つのミューテックスを作成し,Netsky の一部亜種の活動を阻止する。
さらに,Norton Antivirus AV,KasperskyAVEng,Zone Labs Client Ex などの文字列を含む値を特定のレジストリキーから削除。
Beagle.AR,W32.Beagle.AR@mm,W32/Bagle.az@MM,WORM_BAGLE.AM
2004年9月に警告されたウイルス。
独自の SMTP エンジンを使用して自分自身をメールで拡散。
感染すると,自分自身を bawindo.exe として Windows のシステムフォルダに保存。
レジストリキー HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "bawindo" = "C:\WINDOWS\SYSTEM32\bawindo.exe" を追加。
TCP 81番ポートとUDP 81番ポートにバックドアを開き,不正なリモートアクセスを許可。
7つのミューテックスを作成し,Netsky の一部亜種の活動を阻止する。
文字列 shar を含むフォルダに Microsoft Office 2003 Crack, Working!.exe,Opera 8 New!.exe,WinAmp 6 New!.exe,Adobe Photoshop 9 full.exe などのファイルを作成。
また,FIREWALL.EXE などのプロセスを終了する。
BAGLE.AT,WORM_BAGLE.AT
Beagle ウイルスの亜種で,システムのプロセスに常駐して自分自身を添付したウイルスメールを送信する。
感染すると Windows システムフォルダ内にウイルス自身を複製。
システム起動時にウイルスが活動するようレジストリキーを書き換える。
文字列 shared を含むフォルダにウイルス自身を複製。
また,セキュリティ関連ソフトのプロセスを強制的に終了。
約170の URL に対してバックドア活動を行なう。
Beagle.AU,W32.Beagle.AU@mm
Beagle の亜種,ウイルスメールを送信したり,P2P ファイル交換ソフトの共有フォルダなどを介して感染を拡大。
感染した PC の TCP 81番ポートを開放する。
メール送信ルーチン中のバグが原因で,大量にメール送信しない可能性もある。
Beagle.AV,WORM_BAGLE.AT,W32/Bagle.bb@mm
Beagleウイルスの亜種で,自分自身を添付したウイルスメールを送信したり,P2P ファイル交換ソフトの共有フォルダなどを介して感染を広げるトロイの木馬型ウイルス。
バックドア機能を持ち,PC の TCP 81番ポートを開くらしい。
Beagle.AW,W32.Beagle.AW@mm
Beagle の亜種,ウイルスメールを送信したり,P2P ファイル交換ソフトの共有フォルダなどを介して感染を拡大。
感染した PC の TCP 81番ポートを開放する。
Bagle.AY,W32.Beagle.AY@mm,Bagle.AZ,W32.Beagle.AZ@mm
シマンテックが2005年1月27日に警告したワーム型ウイルス。
Windows 95/98/Me/NT/2000/XP/Server 2003 に感染する。
ファイル共有ソフトなどを通じて感染を拡大し,大量のウイルスメールを送信。
感染すると AUTOUPDATE.EXE,FIREWALL.EXE,mcagent.exe といったセキュリティ関連のプロセスを停止。
ファイル共有ソフトに使用される可能性のある shar の文字列が含まれるフォルダを探し出し,ウイルス自身を複製。
メールアドレスを収集し,独自 SMTP でウイルスメールを送信する。
システムフォルダに sysformat.exe,sysformat.exeopen,sysformat.exeopenopen といったファイルを作成。
www.24-7-transportation.com,www.DarrkSydebaby.com,www.FritoPie.NET など140以上のドメインにアクセスし,ダウンロードしたファイルをシステムフォルダに re_file.exe として保存する。
Bagle.AY は,レジストリキーとして HKEY_CURRENT_USER\Software\Microsoft\DownloadManager と HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager を追加する。
Bagle.AZ ではこれらのレジストリキーを追加しない。
Bagle.AZ
W32.Beagle.AZ@mm,WORM_BAGLE.AZ,W32/Bagle.bk@MM とも呼ばれる。
ファイル共有ソフトなどを通じて感染を拡大し,大量のウイルスメールを送信する。
Bagle.BA,W32.Beagle.BA@mm
Symantec が2005年1月28日に警告したウイルス。
ファイル共有ソフトなどを通じて感染を拡大し,大量のウイルスメールを送信する。
感染するとセキュリティ関連のプロセスを停止する。
戻る ウイルス,最初のメニュー