米McAfeeは米国時間7月5日に,電子メールを大量送信するワーム「Bagle.A」の亜種「W32/Bagle.ad@MM(Bagle.AD)」について,危険度の評価を「中」とする警告を発した。

 同社ウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)がこれまで受け取った検出または感染報告のうち,日本,オーストラリア,ドイツ,英国からの報告が大多数を占めているという。

 Bagle. ADは,UPX形式で圧縮されており,感染したマシンに格納されている電子メール・アドレスを取得する。自身の複製をパスワードで保護された「.ZIP」ファイルとして電子メールに添付して,抽出した電子メール・アドレスに送りつける。パスワードはメッセージ本文内あるいは添付画像に含まれている。差出人を偽る手法(スプーフィング)を用いる。

 ワームは発症すると,System Directory内の「shar」の文字列を含むフォルダに自身の複製を作成する。また,起動時に自動実行するようレジストリ・キーを追加する。その後,ワーム作成者のコマンドを受け取るためにTCPポート1234を開こうとする。

 なおワームは,システムの日付が2005年1月25日になると活動を停止するようプログラムされている。

 電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者:(偽装アドレス)

件名:
・Re: Msg reply
・Re: Hello
・Re: Yahoo!
・Re: Thank you!
・Re: Thanks :)
・RE: Text message
・Re: Document
・Incoming message
・Re: Incoming Message
・RE: Incoming Msg
・RE: Message Notify
・Notification
・Changes..
・Update
・Fax Message
・Protected message
・RE: Protected message
・Forum notify
・Site changes
・Re: Hi
・Encrypted document,0

メッセージ本文:
ランダムに変化する。添付ファイル用のパスワードがテキストあるいは画像内に埋め込まれたかたちでメッセージに含まれる場合がある。
-------------------------------------------------------------

◎関連記事
米Network Associates,Bagleワームの新たな亜種「Bagle. AB」を警告
「6月のウイルス被害,Zafiが3割を占めワースト1に」,英調査
米Network Associates,Zafiワームの新たな亜種「W32/Zafi.b@MM」を警告
「スパム・メールは引き続き増加,ウイルス・メールは横ばい」,英調査
「5月は『Sasser』が猛威をふるう。新ウイルスも急増」──。英Sophosの調査
「セキュリティ・ホール発見からワーム出現までの期間が過去5年で劇的に短縮」,米企業の調査
「次々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析<
「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測

[発表資料へ]