• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

アンチウイルス・ベンダー各社が「Bugbear.B」を警告,「複雑で巧妙なワーム」

和田英一 2003/06/06 ITpro

 米Network Associatesは米国時間6月5日,電子メール・ワーム「Bugbear.B」(別称「W32/Bugbear,b@MM」)の危険度評価を「高」とする報告を行った。フィンランドのF-Secureや英MessageLabsも,同ワームの警告を発している。

 Network Associates社が最初にBugbear.Bを検出したのは6月3日で,北米と欧州を含む多くの国々で被害が発生しているという。F-Secure社が最初に検出したのはフィンランド時間6月5日の朝。また,MessageLabs社はすでに106カ国で3万5000件の報告を受けているという。

 Bugbear.Bは,ローカル・システム上のアドレス帳に登録されているユーザーに自身の複製を電子メールで送りつける。発信者のアドレスは別人または偽造の可能性があり,発信者アドレスの人物が感染ユーザーとは限らない。なおBugbear.Bは,「.DBX」「.EML」「INBOX」「.MBX」「.MMF」「.NCH」「.ODS」「.TBB」の拡張子を持つファイルから,電子メール・アドレスを抽出する。

 また,ネットワーク共有を介しても感染を広げる。デフォルトのSMTPエンジンを利用して,スタートアップ・フォルダに非標準の「.EXE」ファイルを作成し,さらにTCPポート1080を開く。

 Bugbear.Bは以下のような銀行関連のドメイン名リストを含んでいる。

-- 1natbanker.com
-- 1nationalbank.com
-- 1stfederal.com
-- 1stnatbank.com
-- 1stnationalbank.com
-- 365online.com 53.com

 電子メールのタイトルは複数のバリエーションがある。主なものは以下の通り。

-- Announcement
-- Daily Email Reminder
-- fantastic
-- free shipping!
-- Get 8 FREE issues -- no risk!
-- Get a FREE gift!
-- Hello!
-- Hi!
-- hmm..
-- Interesting...
-- Introduction
-- Just a reminder
-- Lost & Found
-- Market Update Report

 電子メールのメッセージ本文と添付ファイル名もさまざまに変化する。添付ファイル名には,「Card」「Docs」「image」「images」「music」「news」「photo」「pics」「readme」「resume」「Setup」「song」「video」といった単語が含まれている可能性がある。

 Bugbear.Bは発症すると,以下のようなセキュリティ・プログラムを無効にしようとする。

-- ACKWIN32.exe
-- ANTI-TROJAN.exe
-- AUTODOWN.exe
-- AVE32.exe
-- AVKSERV.exe
-- AVPDOS32.exe
-- AVPM.exe
-- BLACKICE.exe
-- SAFEWEB.exe
-- SCANPM.exe
-- SCRSCAN.exe
-- SERV95.exe
-- VET95.exe
-- VETTRAY.exe
-- VSCAN40.exe
-- ZONEALARM.exe

 また,Bugbear.Bは次のようにレジストリに書き込み,プログラム・ファイルへのパスを取得する。

-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Program
-- FilesDir

 さらに,以下のようなファイルへの感染を試みる。

-- hh.exe
-- mplayer.exe
-- notepad.exe
-- regedit.exe
-- scandskw.exe
-- winhelp.exe
-- ACDSee32\ACDSee32.exe
-- Adobe\Acrobat 4.0\Reader\AcroRd32.exe
-- adobe\acrobat5.0\reader\acrord32.exe
-- AIM95\aim.exe
-- CuteFTP\cutftp32.exe

 「Bugbear.Bは,さまざまな技術を駆使した巧妙なワームだ。UPX圧縮,ランダム・キーによる暗号化,バックドア,キー・ロギング,大量メール発信などに加え,ネットワーク・ワームの機能を持っている」(F-Secure社プロダクト・マネージャのMikael Albrecht氏)

◎関連記事
F-Secureなどが新たなワーム「Sobig.C」を警告,「Sobig.B」沈静化と同時に検出
2003年5月のウイルス被害状況,ワースト1は米MSの技術サポートを装う「Palyh」
米Microsoftのサポートを装う「Sobig」ワーム,米アンチウイルス・ベンダーが警告
「2003年4月のウイルス・ワースト1は『Klez』で15カ月連続のランクイン」,英Sophosの調査
新種ウイルス「Fizzer」をIPAが警告,ただし基本的なウイルス対策で防げる
ウイルス作者と対策ソフトのいたちごっこは終わらない
「メール本文を開くだけで感染するウイルスに注意」――IPA
「ウイルスに狙われるファイル共有サービス,設定を見直せ」――IPAが警告

[発表資料(1)]
[発表資料(2)]
[発表資料(3)]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る