PR

 アンチウイルス・ベンダー各社は米国時間10月29日に,「Bagle」ワームの亜種「W32/Bagle.bb@MM(Bagle.BB)」「W32/Bagle.bd@MM(Bagle.BD)」などについて警告を発した。

 米McAfeeのウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)は,Bagle.BBおよびBagle.BDの危険度評価を「中」とした。すでに各100件以上の検出および感染報告を受け取っているという。

 またスペインのPanda Softwareは,Bagle.BDのほか,「Bagle.BC」と「Bagle.BE」の出現についても警告を発した。「急速に感染を広げている」(同社)

 Bagle.BB,Bagle.BC,Bagle.BD,Bagle.BEはいずれも類似しており,自身のSMTPエンジンを使って大量の電子メールを送信する。ローカル・ファイルから収集した電子メール・アドレスを「From」欄(発信者)に用いて身元を偽る(スプーフィング)ため,受取人は送信元を特定できない。

 発症すると,ワーム作成者のコマンドを受け取るためにTCPポート81を開こうとする。セキュリティ・プログラムやアンチウイルス・プログラムの機能停止を図る。また,「shar」の文字列を含むフォルダに,自身の複製を作成する。

 Bagle.BBを含んだ電子メールは以下のような内容で届く。他の亜種もほぼ同様。
-------------------------------------------------------------
発信者:(偽装アドレス)

件名:件名無し,または以下のいずれかの文字列
・Re: Hello
・Re: Thank you!
・Re: Thanks :)
・Re: Hi

本文: 以下のいずれかの文字列
・:)
・:))

添付ファイル:実行形式で,ファイル名は以下のいずれかの文字列
・Price
・price
・Joke
-------------------------------------------------------------

 ワームはWindows Systemディレクトリに自身の複製を作成し,起動時に自動実行するよう,以下のレジストリ・キーを追加する。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "wingo" = C:\WINNT\SYSTEM32\WINGO.EXE

◎関連記事
「2004年9月のウイルス/スパム被害状況,スパムの占める割合は75%」,米調査
「2004年8月は,不適切な画像添付とスパム/ウイルスが減少」,英MessageLabsの調査
「2004年前半のウイルス被害ワースト1は『Sasser』」,英Sophosの調査
「巧妙化するウイルスの“手口”にだまされるな」――IPA
対策ソフトへの過信が招くウイルス被害
「ウイルスは差出人を詐称する,警告メールを受け取っても慌てるな」――IPA
2004年ウイルス事情
「ウイルス作者の“プロ”化が進んでいる」――スペインPanda Software 

[発表資料(McAfee社1)]
[発表資料(McAfee社2)]
[発表資料(Panda社1)]
[発表資料(Panda社2)]