警察庁は3月19日,メールで感染を広げる「Beagle(Bagle)」ウイルスを改めて警告した。2004年1月にBeagleのオリジナルが出現して以降,さまざまな変種が出現している(関連記事)。ウイルスに感染すると(ウイルス・ファイルを実行すると),ウイルス添付メールを大量に送信させられたり,バックドアを仕掛けられたりする。パスワードを設定したアーカイブ・ファイルにウイルスを含める変種や,添付ファイルがない変種も存在する(添付ファイルがない変種では,HTMLメールを開くとウイルスをダウンロードさせられる)。十分注意したい。

 3月19日19時現在,アンチウイルス・ベンダーのトレンドマイクロでは,18種類のBeagle(Bagle)を確認しているという。警察庁では変種の特徴をまとめた一覧表(PDFファイルを公開している。

 オリジナルのBeagleは,自分のコピーを拡張子が「.exe」のファイルにして,メールに添付して感染を広げる(関連記事)。その後,自分のコピーの拡張子を「.scr」にする変種,自分のコピーを「.zip」のアーカイブ・ファイルに含める変種が出現した。アーカイブ・ファイルにパスワードを設定する変種も出現している(パスワードはメールの本文に記述されている)。

 現在では,ウイルス・ファイルを添付しない変種も出現している。トレンドマイクロは3月18日,ウイルス・ファイルを添付しない変種「Bagle.Q」を警告した。ウイルスの危険度は5段階中,上から2番目(VAC-2)に設定している。

 Bagle.Qが送信するメールの本文はHTMLで書かれている。(1)HTMLメールのレンダリングにInternet Explorer(IE)を使うメール・ソフトを使っている,(2)メール・ソフトでHTMLメールを表示させる設定している,(3)IEに「MS03-040」のセキュリティ・ホールがある――以上の条件を満たす場合には,Bagle.Qが送信するHTMLメールをプレビューしたり開いたりすると,スクリプトが記述されたHTMLファイルがダウンロードされる。このHTMLファイルは,既にBagle.Qに感染しているパソコンか,ある特定のサイトからダウンロードされる(特定サイトのIPアドレスはBagle.Qの中に記述されている)。

 トレンドマイクロのウイルス対策製品では,Bagle.Qが送信するHTMLメールを「HTML_BAGLE.Q-1」,ダウンロードされるHTMLファイルを「HTML_BAGLE.Q」として検出するという。

 HTMLファイル(HTML_BAGLE.Q)をダウンロードすると,ファイルに記述されたスクリプトが実行されて,パソコン上に「Q.VBS」というVBScriptファイルが作成される。Q.VBSは,既にBagle.Qに感染しているパソコンか,ある特定のサイトからウイルスの本体である実行形式ファイルをダウンロードして,パソコン上で実行する。

 ウイルスの本体(Bagle.Q)が実行されると,パソコンの起動時にBagle.Qが動き出すようにレジストリが改変される。加えて,フォルダ名に「shar」という文字列を含むフォルダに自分自身をコピーする。さらに,現在動いているウイルス対策ソフトのプロセスを終了させようとする。

 動き出したBagle.Qは“ウイルス・サーバー”としても機能する。Bagle.Qに感染したパソコンから送信されるHTMLメール(HTML_BAGLE.Q-1)には,そのパソコンのIPアドレスが記述される。そのメールを受け取ったユーザーは,Bagle.Qをダウンロードするために,そのパソコンにアクセスすることになる。Bagle.QはTCPポート81番で,外部からのリクエストを待ち受ける。ただし,Bagle.Qに感染したパソコンではなく,Bagle.Qの内部に記述されている(ハード・コーディングされている)特定のIPアドレスが記述される場合もある。「(Bagle.Qに感染したパソコンと特定アドレスのサイトの)どちらのIPアドレスが記述されるかは,ランダムに決定される」(トレンドマイクロ アンチウイルスセンターの西山健一ウイルス解析者)。

 今後も,より趣向を凝らした変種が出現する可能性は高い。「Bagle.Qは『MS03-040』のセキュリティ・ホールを突くが,異なるセキュリティ・ホールを突く変種が出現する可能性もある。セキュリティ・ホールを突くことなく,Bagle.Qと同様の振る舞いをする変種が出現する可能性もある」(西山氏)。

 対策は「最新のウイルス定義ファイルをインストールしたウイルス対策ソフトを常駐させて使用する」「添付ファイルを安易に実行しない」――こと。加えて,Bagle.Qのようなウイルスに対抗するために,「セキュリティ・ホールをふさぐ」「HTMLメールをテキスト・ファイルで表示させるようにする」ことも重要だ。セキュリティ・ホールをふさいでおけば,ウイルス・ファイルが勝手に動き出すことはない。また,メールをすべてテキスト形式で表示させるようにすれば,メールの本文を開いただけでファイルをダウンロードさせられることはない。

 ほとんどのメール・ソフトには,テキスト形式で表示させる設定がある。Outlook Express SP1Outlook 2002などでも可能だ。マイクロソフトが公開する情報に従えば容易にテキスト形式で表示させるようにできる。セキュリティの観点からは,すべてのメールをテキスト形式で表示するように設定しておきたい。

◎参考資料
Beagle(Bagle)ウイルスについて(警察庁)
Beagle(Bagle)ウイルス及びその亜種の主な特徴(PDFファイル,警察庁)
PE_BAGLE.Q(トレンドマイクロ)
Many variants of W32/Beagle malicious code(US-CERT)

(勝村 幸博=IT Pro)