米Network Associatesは米国時間5月10日,「Bagle」ワームの新たな亜種「W32/Bagle.ab@MM(Bagle.AB)」について,危険度評価を「中」に引き上げる警告を発した。同社ウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)がこれまでに受け取った感染報告のほとんどは,米国から寄せられたものという。
Bagle.ABは,感染したコンピュータに格納されているファイルから電子メール・アドレスを取得し,自身の複製をパスワードのかかったZIPファイルとして添付して送りつける。パスワードはメッセージ本文に記載されている。「From(発信者)」の欄にも抽出した電子メール・アドレスを利用し,身元を偽る。
また,ワームは発症すると「shar」の文字列を含むフォルダ(一般的なピア・ツー・ピア・アプリケーションのフォルダ)に自身の複製を作成し,システムの起動時に実行するようレジストリ・キーを追加する。その後,ワーム作成者のコマンドを受け取るためにTCPポート2535を開こうとする。
電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者:(偽装電子メール・アドレス)
件名:
・Re: Msg reply
・Re: Hello
・Re: Yahoo!
・Re: Thank you!
・Re: Thanks :)
・RE: Text message
・Re: Document
・Incoming message
・Re: Incoming Message
・RE: Incoming Msg
・RE: Message Notify
・Notification
・Changes..
・New changes
・Hidden message
・Fax Message Received
・Protected message
・RE: Protected message
・Forum notify
・Site changes
・Re: Hi
・Encrypted document
メッセージ本文:(ランダムに組み合わせた文字列を使用)
添付ファイル:(以下のいずれか)
・Information
・Details
・text_document
・Readme
・Document
・Info
・the_message
・Details
・MoreInfo
・Message
・You_will_answer_to_me
・Half_Live
・Counter_strike
・Loves_money
・the_message
・Alive_condom
・Joke
・Toy
・Nervous_illnesses
・Manufacture
・You_are_dismissed
・Your_complaint
・Your_money
・Smoke
・I_search_for_you
-------------------------------------------------------------
◎関連記事
■米Network Associates,Bagleワームの新たな亜種「Bagle.Z」を警告
■Windowsのセキュリティ・ホールを突くワームが流行中,連休明けは要注意
■Netskyの被害を増幅させたもの
■3月のウイルス被害状況ワースト12,「Netsky」の亜種が7種類もランクイン
■次々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
■「当社の懸賞金プログラムが『Sasser』作成の容疑者逮捕に貢献」,米Microsoft
■ウイルス/ワーム作者を捕まえろ――“懸賞金500万ドル”の効き目やいかに?
■「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測
[発表資料へ]
