米Network Associatesは,電子メールを大量送信するワーム「Bagle.A」の亜種「W32/Bagle.n@MM(Bagle.N)」について,危険度の評価を「中」とする警告を米国時間3月13日に発した。
Network Associates社のウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)によれば,最初にBagle.Nが出現したのは米国だという。
Bagle.Nは,感染したマシンに格納されている「.EXE」「.PIF」「.ZIP」「.RAR」ファイルから電子メール・アドレスを取得する。パスワードで保護されたファイルとして自身の複製を電子メールに添付し,抽出した電子メール・アドレスに送りつける。パスワードはメッセージ本文内あるいは添付画像(「.BMP」「.JPG」「.GIF」ファイル)に含まれている。合法的な電子メールのように見せかけており,差出人を偽る手法(スプーフィング)を用いる。
電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者:(感染したマシンから抽出した電子メール・アドレス,あるいは,以下の文字列と受信者のドメイン名の組み合わせ)
・management@
・administration@
・staff@
・noreply@
・support@
件名:
・Account notify
・E-mail account disabling warning.
・E-mail account security warning.
・Email account utilization warning.
・Email report
・E-mail technical support message.
・E-mail technical support warning.
・E-mail warning
・Encrypted document
・Fax Message Received
・Forum notify
・Hidden message
・Important notify
・Important notify about your e-mail account.
・Incoming message
・Notify about using the e-mail account.
・Notify about your e-mail account utilization.
・Notify from e-mail technical support.
・Protected message
・Re: Document
・Re: Hello
・Re: Hi
・Re: Incoming Fax
・Re: Incoming Message
・Re: Msg reply
・RE: Protected message
・RE: Text message
・Re: Thank you!
・Re: Thanks :)
・Re: Yahoo!
・Request response
・Site changes
・Warning about your e-mail account.
メッセージ本文:Greeting -
・Dear user of(受信者のドメイン名),
・Dear user of(受信者のドメイン名)e-mail server gateway,
・Hello user of(受信者のドメイン名)e-mail server,
・Dear user, the management of(受信者のドメイン名)mailing system wants to let you know that,
これらの書き出しに続き,サーバーに障害または不正なアクセスが発生したため,受信者のアカウントが一時的に無効になるなどの警告文が記述されている。
-------------------------------------------------------------
また,ワームは発症すると「shar」の文字列を含むフォルダに自身の複製を作成する。TCPポートをランダムに解放し,ワーム作成者の命令を受け取ろうとする。システムの日付が2005年12月31日になると活動を停止するようプログラムされている。
◎関連記事
■感染を広げるBagleワーム,亜種「W32/Bagle.h@MM」の危険度は「中」
■アンチウイルス・ベンダー各社がBagleワームの亜種「W32/Bagle.c@MM」を警告
■アンチウイルス・ベンダー各社がBagle.Aの亜種「Bagle.B」を警告
■アンチウイルス・ベンダー各社が新たなワーム「W32/BAGLE@MM」を警告
■「3月11日にウイルス攻撃の可能性」,スペインのPanda Softwareが警告
■Mydoom.AおよびBの非活性化を試みる「Netsky.J」発生
■々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
■猛威を振るう「Mydoom」ウイルス,その“手口”を解説する
[発表資料へ]
