米Network Associatesが米国時間4月26日に,「Bagle」ワームの新たな亜種「W32/Bagle.z@MM(Bagle.Z)」について,危険度評価を「中」に引き上げる警告を発した。同社ウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)がこれまでに受け取った感染報告のほとんどは,欧州から寄せられたという。
Bagle.Zは,感染したコンピュータに格納されているファイルから電子メール・アドレスを取得し,自身の複製をパスワードのかかったZIPファイルとして添付して送りつける。パスワードはメッセージ本文に記載されている。「From(発信者)」の欄にも抽出した電子メール・アドレスを利用し,身元を偽る。
また,ワームは発症すると「shar」の文字列を含むフォルダに自身の複製を作成し,システムの起動時に実行するようレジストリ・キーを追加する。その後,ワーム作成者のコマンドを受け取るためにTCPポート2535を開こうとする。なお,米メディアの報道(CNET News.com)によると,ワームの添付ファイルには詩のような文章が含まれているという。
電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者:(偽装電子メール・アドレス。以下の文字列を含む場合がある)
・lizie@
・annie@
・ann@
・christina@
・secretGurl@
・jessie@
・christy@
件名:
・Hello!
・Hey!
・Let's socialize, my friend!
・Let's talk, my friend!
・I'm bored with this life
・Notify from a known person ;-)
・I like you
・I just need a friend
・I'm a sad girl...
・Re: Msg reply
・Re: Hello
・Re: Yahoo!
・Re: Thank you!
・Re: Thanks :)
・RE: Text message
・Re: Document
・Incoming message
・Re: Incoming Message
・Re: Incoming Fax
・Hidden message
・Fax Message Received
・Protected message
・RE: Protected message
・Forum notify
・Request response
・Site changes
・Re: Hi
・Encrypted document
メッセージ本文:(ランダムに組み合わせた文字列を使用)
-------------------------------------------------------------
添付ファイルには,すべて大文字で書かれた以下の文章が含まれる
-------------------------------------------------------------
Unique people make unique things
That things stay beyond the normal life and common understanding
The problem is that people don't understand such wild things,
Like a man did never understand the wild life.
-------------------------------------------------------------
(米CNET News.comの掲載記事)
◎関連記事
■米Network Associates,Bagleワームの新たな亜種「Bagle.U」を警告
■米Network Associates,Bagleワームの亜種「Bagle.N」を警告
■感染を広げるBagleワーム,亜種「W32/Bagle.h@MM」の危険度は「中」
■アンチウイルス・ベンダー各社が新たなワーム「W32/BAGLE@MM」を警告
■々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
■「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測
■3月のウイルス被害状況ワースト12,「Netsky」の亜種が7種類もランクイン
■2004年3月のウイルス被害状況,「Netsky」の亜種がワースト3を独占
