米Network Associatesは米国時間2月27日に,大量の電子メールを送信するワーム「Bagle」の亜種「W32/Bagle.c@MM(Bagle.c)」について警告を発した。危険度の評価は「中」。
Bagle.cは,感染したコンピュータのローカル・ディスクに保存されている「.WAB」「.TXT」「.HTM」「.HTML」「.DBX」「.MDX」「.EML」「.NCH」「.MMF」「.ODS」「.CFG」「.ASP」「.PHP」「.PL」「.ADB」「.SHT」拡張子の付いたファイルから電子メール・アドレスを収集し,自身に内蔵されたSMTPエンジンを使って,自身の複製を送りつける。取得した電子メール・アドレスは「From」欄(発信者)と「To」欄(送信先)の両方に用いられるため,受信者は発信元を特定できない。
電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者:(偽造アドレス)
件名:
Price
New Price-list
Hardware devices price-list
Weekly activity report
Daily activity report
Maria
Jenny
Jessica
Registration confirmation
USA government abolishes the capital punishment
Freedom for everyone」「Flayers among us
From Hair-cutter
Melissa
Camila
Price-list
Pricelist
Price list
Hello my friend
Hi!
Well...
Greet the day
The account
Looking for the report
You really love me? he he
You are dismissed
Accounts department
From me
Monthly incomings summary
The summary
Proclivity to servitude
Ahtung!
The employeeなど
本文:(空白)
添付ファイル:「(ランダムな文字列).zip」
-------------------------------------------------------------
なお,「@hotmail.com」「@msn.com」「@microsoft」「@avp」「noreply」「local」「root@」「postmaster@」を含むアドレスには電子メールを送信しない。
ワームはリモート接続コンポーネントも内蔵しており,TCPポート2745を開こうとする。コンピュータの日付が2004年3月14日を過ぎると活動を停止する。
また米Central Commandも,同様の警告を翌日発した。上記のほか,レジストリ・キーに変更を加えたり,アンチウイルス・プログラムの正常な機能を妨げるといったワームの特徴を指摘している。
◎関連記事
■アンチウイルス・ベンダー各社がBagle.Aの亜種「Bagle.B」を警告
■アンチウイルス・ベンダー各社が新たなワーム「W32/BAGLE@MM」を警告
■新たなワーム「Mydoom」が急速に拡大,「Sobig.Fなみの感染力」とアンチウイルス・ベンダー各社が警告
■「『MyDoom』がインターネット史上最悪の急拡大,『SoBig.F』をはるかに上回る」,米社が報告
■Mydoomの亜種「Mydoom.B」が出現,「オリジナルよりさらに危険」
■アンチウイルス・ベンダー各社が,Mydoom感染マシンを狙う新たなワーム「Doomjuice」を警告
■米Network Associatesが「W32/Netsky.c@MM」を警告,危険度は「中」
■米Network Associatesが「W32/Netsky.b@MM」を警告,危険度は「中」
[発表資料(Network Associates社)]
[発表資料(Central Command社)]
