米McAfeeがBagleワームの亜種「W32/Bagle.aq@MM（Bagle.aq）」を警告，危険度評価は「中」

早坂利之

2004.08.10

　米McAfeeのウイルス対策技術研究機関であるMcAfee AVERT（Anti-Virus Emergency Response Team）は，最近見つかった「Bagle」ワームの亜種「W32/Bagle.aq@MM（Bagle.aq）」の危険度評価を「中」とした。同社が米国時間8月9日に発表した。新しい亜種は，電子メールを大量送信するワームでZIP形式のファイルで送信される。

　McAfee AVERTはすでに150件以上の検出および感染報告を受け取っている。これまでに受け取った感染報告のほとんどは，ブラジル，カナダ，フランス，オランダ，台湾，米国から寄せられている。その大半が企業ユーザーではなく一般ユーザーからのものだった。

　Bagle.aqは，自身のSMTPエンジンを使って送信メールを作成する。ローカル・ファイルから電子メール・アドレスを収集した電子メール・アドレスを「From」欄（発信者）に用いて自身を送りつけるため，受取人は送信元を特定できない。

　このワームは，リモート接続コンポーネントも内蔵しており，感染したコンピュータがワームの作成者に通知する。また，発症すると「shar」の文字列を含むフォルダ（一般的なピア・ツー・ピア・アプリケーションのフォルダ）に自身の複製を作成する。

　ワームが送信するZIP形式のファイルには，HTMLとEXEファイルが格納されている。EXEファイルは，ZIPファイルの中にあるため，Explorerで見るとHTMLファイルと別のフォルダしか見えない（「WinZip」や「PKzip」といったスタンドアロンのZIP解凍アプリケーションではEXEファイルが見える）。HTMLファイルに含まれるコードは，脆弱なシステムにおいてトロイの木馬型ダウンローダであるEXEファイルを自動的に実行する。このダウンローダは，多数のWebサイトにアクセスしてウイルスを検索する。

　電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者：（偽装電子メール・アドレス）

件名：（無題）

メッセージ本文：
・new price

　ZIPファイルがパスワード保護されていることを説明し，メッセージ本文に次の記述とパスワードのイメージ・ファイルを埋め込んでいる場合もある。
・The password is
・Password:

添付ファイル：（以下のいずれか）
・price.zip
・price2.zip
・price_new.zip
・price_08.zip
・08_price.zip
・newprice.zip
・new_price.zip
・new__price.zip

　ZIPファイルには，2つのファイルPRICE.EXEとPRICE.HTMLが格納される。

　EXEファイルが実行されると，Windows Systemディレクトリに自身を「WINDIRECT.EXE」として「C:\WINNT\SYSTEM32\WINdirect.exe」のように複製する。また，このデシレクトリにDLLファイル「_dll.exe」を追加する。

　また，起動時に自動実行するように次のレジストリ・キーを追加する。
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "win_upd2.exe" = C:\WINNT\SYSTEM32\windll.exe

・KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "win_upd2.exe" = C:\WINNT\SYSTEM32\windll.exe

　トロイの木馬型ダウンローダがウイルスの実行ファイルをダウンロードして実行すると，ウイルスは，Windows Systemディレクトリに自身を「WINDLL.EXE」として「C:\WINNT\SYSTEM32\windll.exe」のようにコピーする。自身の機能を実行する他のファイル「C:\WINNT\SYSTEM32\windll.exeopen」，「C:\WINNT\SYSTEM32\windll.exeopenopen」ともこのディレクトリに作成する。

　また，起動時に自動実行するように次のレジストリ・キーを追加する。
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "erthgdr" = "C:\WINNT\SYSTEM32\windll.exe"
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n

　同ワームは，ターゲットマシンのポート80（TCP），ランダムなUDPポートを開く。