セキュリティ組織である米CERT/CCは米国時間1月20日,「Beagle(Bagle)」ウイルスを警告した。Beagleに関する報告が多数寄せられているという。Beagleは件名が「Hi」のメールに添付されて送られてくる。Beagleを実行すると,Beagleを添付したメールが大量に送信される。アンチウイルス・ベンダー各社も米国時間1月18日以降,Beagleを警告している(関連記事)。ウイルス対策ソフトのほとんどは,最新のウイルス定義ファイルで対応済み。
Beagleを添付したメールの本文は以下のようになる。
"Test =)
(ランダムな文字列)
--
Test, yep."
添付ファイル(Beagleの実体)名は「(ランダムな文字列).exe」で,ファイル・サイズは15872バイトである。Beagleのアイコンは,Windows標準の電卓プログラム(calc.exe)である。
Beagleは,実行されるとマシンのシステムの日付を調べる。日付が2004年1月29日以降の場合には何もしない。1月28日以前の場合には,次のような感染/発病挙動を示す。まず,ユーザーをだますために電卓プログラム(calc.exe)を起動する。そして,Beagle自身を別名でマシンにコピーして,マシンの起動時に実行されるようにレジストリを改変する。
その後,マシン内のファイルからメール・アドレスを収集し,そのすべてのアドレスへ自分自身を添付したメールを送信する。収集したアドレスは,メールの送信者アドレスにも使用される。併せて,外部からのアクセスを待ち受けるバックドアを仕掛ける。ポート6777番で待ち受けるが,途中で変更される場合もある。さらに,定期的に特定のWebサイトへアクセスしようとする。
Beagleにはセキュリティ・ホールを突く“機能”はない。そのため,どのようなマシンにおいても,添付されたBeagleを実行しない限り被害に遭うことはない。
◎参考資料
◆「W32/Beagle or W32/Bagle Worm」(米CERT/CC)
◆「W32.Beagle.A@mm」(シマンテック)
◆「WORM_BAGLE.A」(トレンドマイクロ)
(勝村 幸博=IT Pro)
