米Network Associatesのウイルス対策技術研究機関であるAnti-Virus Emergency Response Team(McAfee AVERT)は米国時間3月2日,大量の電子メールを送信するワーム「Bagle」の亜種「W32/Bagle.h@MM」(または「Bagle.H」)について,警告を発した。危険度評価は,既に被害が報告されている「Bagle.A」や「Bagle.B」と同じ「中」とした。
AVERTによると,Bagle.Hは同日未明に発見されたばかりにもかかわらず,顧客から入手したサンプルや,ワーム自身の送信した電子メールが100件以上に達しているという。
Bagle.Hは,自身に内蔵されたSMTPエンジンを使って,パスワードで保護された.ZIPファイルを作成する。コンピュータのローカル・ディスクから収集した電子メール・アドレスを「From」欄(発信者)と「To」欄(送信先)に用いて自身を送りつけるため,受取人は送信元を特定できない。
また,リモート接続コンポーネントも内蔵しており,リモート接続の有無をTCPポート2745で確認する。さまざまなWebサイトにアクセスしたり,リモート・サイトにあるPHPスクリプトを呼び出すなどして,感染したコンピュータがコマンドを待機していることをワームの作成者に通知しようとする。
Network Associates社では,以下のような件名の電子メールを削除するよう警告している。
From:(偽造アドレス)
件名:
・^_^ meay-meay!
・^_^ mew-mew (-:
・Hey, dude, it's me ^_^ :P
・Argh, i don't like the plaintext :)
・I don't bite, weah!
・Looking forward for a response :P
ワームは,コンピュータの日付が2004年3月25日になると活動を停止する。また,「@avp.」「@hotmail.com」「@microsoft」「@msn.com」「local」「noreply」「postmaster@」「root@」を含むアドレスには電子メールを送信しない。
また,スペインのPanda Softwareは同日,「Netsky.C」「Netsky.D」「Netsky.E」や 「Bagle.C」「Bagle.E」など,多数のワームが全世界で感染を拡大していると報告した。
同社は,過去24時間の被害報告が最も多いNetsky.Dを懸念しているほか,「Bagle.I」を検出したことも明らかにした。現在,何百万もの電子メールが各種ワームに感染しており,感染したコンピュータの95%は企業のものだという。
◎関連記事
■アンチウイルス・ベンダー各社がBagleワームの亜種「W32/Bagle.c@MM」を警告
■アンチウイルス・ベンダー各社がBagle.Aの亜種「Bagle.B」を警告
■アンチウイルス・ベンダー各社が新たなワーム「W32/BAGLE@MM」を警告
■新たなワーム「Mydoom」が急速に拡大,「Sobig.Fなみの感染力」とアンチウイルス・ベンダー各社が警告
■「『MyDoom』がインターネット史上最悪の急拡大,『SoBig.F』をはるかに上回る」,米社が報告
■米Network Associatesが「W32/Netsky.c@MM」を警告,危険度は「中」
■「メールやファイル共有で感染を広げる『Netsky.B』に注意」――CERT/CCや警察庁
■“無防備”なマシンでWindows Updateは禁物,ネット接続前に“守り”を固めろ
