アンチウイルス・ベンダー各社は米国時間10月29日に,「Bagle」ワームの亜種「W32/Bagle.bb@MM(Bagle.BB)」「W32/Bagle.bd@MM(Bagle.BD)」などについて警告を発した。
米McAfeeのウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)は,Bagle.BBおよびBagle.BDの危険度評価を「中」とした。すでに各100件以上の検出および感染報告を受け取っているという。
またスペインのPanda Softwareは,Bagle.BDのほか,「Bagle.BC」と「Bagle.BE」の出現についても警告を発した。「急速に感染を広げている」(同社)
Bagle.BB,Bagle.BC,Bagle.BD,Bagle.BEはいずれも類似しており,自身のSMTPエンジンを使って大量の電子メールを送信する。ローカル・ファイルから収集した電子メール・アドレスを「From」欄(発信者)に用いて身元を偽る(スプーフィング)ため,受取人は送信元を特定できない。
発症すると,ワーム作成者のコマンドを受け取るためにTCPポート81を開こうとする。セキュリティ・プログラムやアンチウイルス・プログラムの機能停止を図る。また,「shar」の文字列を含むフォルダに,自身の複製を作成する。
Bagle.BBを含んだ電子メールは以下のような内容で届く。他の亜種もほぼ同様。
-------------------------------------------------------------
発信者:(偽装アドレス)
件名:件名無し,または以下のいずれかの文字列
・Re: Hello
・Re: Thank you!
・Re: Thanks :)
・Re: Hi
本文: 以下のいずれかの文字列
・:)
・:))
添付ファイル:実行形式で,ファイル名は以下のいずれかの文字列
・Price
・price
・Joke
-------------------------------------------------------------
ワームはWindows Systemディレクトリに自身の複製を作成し,起動時に自動実行するよう,以下のレジストリ・キーを追加する。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "wingo" = C:\WINNT\SYSTEM32\WINGO.EXE
◎関連記事
■「2004年9月のウイルス/スパム被害状況,スパムの占める割合は75%」,米調査
■「2004年8月は,不適切な画像添付とスパム/ウイルスが減少」,英MessageLabsの調査
■「2004年前半のウイルス被害ワースト1は『Sasser』」,英Sophosの調査
■「巧妙化するウイルスの“手口”にだまされるな」――IPA
■対策ソフトへの過信が招くウイルス被害
■「ウイルスは差出人を詐称する,警告メールを受け取っても慌てるな」――IPA
■2004年ウイルス事情
■「ウイルス作者の“プロ”化が進んでいる」――スペインPanda Software
[発表資料(McAfee社1)]
[発表資料(McAfee社2)]
[発表資料(Panda社1)]
[発表資料(Panda社2)]