アンチウイルス・ベンダー各社が「Bugbear.B」を警告，「複雑で巧妙なワーム」

　米Network Associatesは米国時間6月5日，電子メール・ワーム「Bugbear.B」（別称「W32/Bugbear,b@MM」）の危険度評価を「高」とする報告を行った。フィンランドのF-Secureや英MessageLabsも，同ワームの警告を発している。

　Network Associates社が最初にBugbear.Bを検出したのは6月3日で，北米と欧州を含む多くの国々で被害が発生しているという。F-Secure社が最初に検出したのはフィンランド時間6月5日の朝。また，MessageLabs社はすでに106カ国で3万5000件の報告を受けているという。

　Bugbear.Bは，ローカル・システム上のアドレス帳に登録されているユーザーに自身の複製を電子メールで送りつける。発信者のアドレスは別人または偽造の可能性があり，発信者アドレスの人物が感染ユーザーとは限らない。なおBugbear.Bは，「.DBX」「.EML」「INBOX」「.MBX」「.MMF」「.NCH」「.ODS」「.TBB」の拡張子を持つファイルから，電子メール・アドレスを抽出する。

　また，ネットワーク共有を介しても感染を広げる。デフォルトのSMTPエンジンを利用して，スタートアップ・フォルダに非標準の「.EXE」ファイルを作成し，さらにTCPポート1080を開く。

　Bugbear.Bは以下のような銀行関連のドメイン名リストを含んでいる。

-- 1natbanker.com
-- 1nationalbank.com
-- 1stfederal.com
-- 1stnatbank.com
-- 1stnationalbank.com
-- 365online.com 53.com

　電子メールのタイトルは複数のバリエーションがある。主なものは以下の通り。

-- Announcement
-- Daily Email Reminder
-- fantastic
-- free shipping!
-- Get 8 FREE issues -- no risk!
-- Get a FREE gift!
-- Hello!
-- Hi!
-- hmm..
-- Interesting...
-- Introduction
-- Just a reminder
-- Lost & Found
-- Market Update Report

　電子メールのメッセージ本文と添付ファイル名もさまざまに変化する。添付ファイル名には，「Card」「Docs」「image」「images」「music」「news」「photo」「pics」「readme」「resume」「Setup」「song」「video」といった単語が含まれている可能性がある。

　Bugbear.Bは発症すると，以下のようなセキュリティ・プログラムを無効にしようとする。

-- ACKWIN32.exe
-- ANTI-TROJAN.exe
-- AUTODOWN.exe
-- AVE32.exe
-- AVKSERV.exe
-- AVPDOS32.exe
-- AVPM.exe
-- BLACKICE.exe
-- SAFEWEB.exe
-- SCANPM.exe
-- SCRSCAN.exe
-- SERV95.exe
-- VET95.exe
-- VETTRAY.exe
-- VSCAN40.exe
-- ZONEALARM.exe

　また，Bugbear.Bは次のようにレジストリに書き込み，プログラム・ファイルへのパスを取得する。

-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Program
-- FilesDir

　さらに，以下のようなファイルへの感染を試みる。

-- hh.exe
-- mplayer.exe
-- notepad.exe
-- regedit.exe
-- scandskw.exe
-- winhelp.exe
-- ACDSee32\ACDSee32.exe
-- Adobe\Acrobat 4.0\Reader\AcroRd32.exe
-- adobe\acrobat5.0\reader\acrord32.exe
-- AIM95\aim.exe
-- CuteFTP\cutftp32.exe

　「Bugbear.Bは，さまざまな技術を駆使した巧妙なワームだ。UPX圧縮，ランダム・キーによる暗号化，バックドア，キー・ロギング，大量メール発信などに加え，ネットワーク・ワームの機能を持っている」（F-Secure社プロダクト・マネージャのMikael Albrecht氏）

◎関連記事
■F-Secureなどが新たなワーム「Sobig.C」を警告，「Sobig.B」沈静化と同時に検出
■2003年5月のウイルス被害状況，ワースト1は米MSの技術サポートを装う「Palyh」
■米Microsoftのサポートを装う「Sobig」ワーム，米アンチウイルス・ベンダーが警告
■「2003年4月のウイルス・ワースト1は『Klez』で15カ月連続のランクイン」，英Sophosの調査
■新種ウイルス「Fizzer」をIPAが警告，ただし基本的なウイルス対策で防げる
■ウイルス作者と対策ソフトのいたちごっこは終わらない
■「メール本文を開くだけで感染するウイルスに注意」――IPA
■「ウイルスに狙われるファイル共有サービス，設定を見直せ」――IPAが警告

[発表資料（1）]
[発表資料（2）]
[発表資料（3）]