セキュリティ・ベンダーのフィンランドF-Secureやセキュリティ組織の米SANS Insituteは9月19日,「Bagle」ウイルス(ワーム)の変種が多数出現しているとして注意を呼びかけた。Bagleは,主にメールを使って感染を広げるウイルス。Bagleの変種の多くは実行形式ファイル(拡張子がexe)として送られてくるので,F-Secureでは,「実行形式ファイルが添付されたメールを受け入れている組織では,その方針を考え直すよい機会だ」としている。

 Bagleは国内でも多数報告されている。変種が多数出現していることが特徴。メールに添付されて送られてきたBagleを実行すると,Bagle自身を添付したメールを多数送信して感染を広げることになる。感染マシンをスパムやDoS(サービス妨害)攻撃の踏み台にする変種(“ボット”の機能を持つ変種)や,バックドアやキーロガーを仕掛ける変種など,さまざまな変種が次々と出現している。

 今回F-Secureでは,内容をわずかに変えた新しい変種が多数確認されているとして注意を呼びかけた。F-Secureが確認したBagleの変種の多くは,実行形式ファイルとしてメールに添付されて送られてくる。このため同社では,実行形式ファイルが添付されたメールをフィルタリングすることを対策の一環として勧めている。

 SANS Instituteでは,「TROJ/BAGLEDL-U」などと分類されているBagleの変種について注意を呼びかけている。この変種は,ZIP形式の圧縮ファイルとしてメールに添付されて送られくるという。ファイル名には“price”という文字列が含まれる。例えば,「price.zip」「price2.zip」「newprice.zip」「09_price.zip」といったファイル名のBagleを確認している。

 同組織では,同ウイルスを検出するためのSnort用シグネチャを公開している。

◎参考資料
Bagle showdown(フィンランドF-Secure)
New Bagle Making the Rounds?(米SANS Institute)