米Network AssociatesとスペインのPanda Softwareは米国時間2月18日,大量の電子メールを送信するワーム「Bagle.A」の亜種「W32/Bagle.b@MM」(または「Bagle.B」)について警告を発した。Network Associates社による危険度の評価は「中」。フィンランドのF-Secureも,現地時間2月18日に同様の警告を発した。
Bagle.Bは,感染したコンピュータのローカル・ディスクに保存されている「.wab」「.txt」「.htm」「.html」の拡張子が付いたファイルから電子メール・アドレスを収集し,自身に内蔵されたSMTPエンジンを使って,自身の複製を送りつける。取得した電子メール・アドレスは「From」欄(発信者)と「To」欄(送信先)の両方に用いられるため,受信者は発信元を特定できない。
電子メールの件名は「ID(ランダムな数字)...thanks」で,添付ファイル名もランダムに変化する。メッセージ本文は次の通り。
Yours ID(ランダムな数字)
--
Thank
なお,ワームは「@hotmail.com」「@msn.com」「@microsoft」「@avp」を含むアドレスには電子メールを送信しない。
またワームは,リモート接続の有無をTCPポート8866で確認する。さまざまなWebサイトにアクセスしたり、リモート・サイトにあるスクリプトを呼び出すなどして、コマンドを待機していることをワームの作成者に通知しようと試みる。
ワームは,コンピュータの日付が2004年2月25日になると,活動を停止する。
F-Secure社によると,Bagle.Bは最初の段階でスパム・メール並みに大量送信された可能性があるという。また,オーディオ・ファイルを含む無害な電子メールに見えることも,同ワームの拡散に拍車をかけている。
◎関連記事
■アンチウイルス・ベンダー各社が新たなワーム「W32/BAGLE@MM」を警告
■アンチウイルス・ベンダー各社が,Mydoom感染マシンを狙う新たなワーム「Doomjuice」を警告
■「『MyDoom』がインターネット史上最悪の急拡大,『SoBig.F』をはるかに上回る」,米社が報告
■Mydoomの亜種「Mydoom.B」が出現,「オリジナルよりさらに危険」
■新たなワーム「Mydoom」が急速に拡大,「Sobig.Fなみの感染力」とアンチウイルス・ベンダー各社が警告
■2003年のウイルス被害は「Sobig」がダントツ1位,被害件数の約20%を占める
■ウイルス/ワーム作者を捕まえろ──“懸賞金500万ドル”の効き目やいかに?
■「1月はMydoomが猛威,巧妙化するウイルスに気をつけろ」──IPA
[発表資料(Network Associates社)]
[発表資料(Panda Software社)]
[発表資料(F-Secure社)]