TOPICS

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2004年3月13日(米国時間) に発見されました。
このウイルスは危険性の評価が高いため、早急にウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Beagle.M@mm」は、「Beagle」の亜種で、システムのプロセスに常駐し、自身を添付したメールを送信する大量メール送信型のワームです。
このワームは、感染したコンピュータのTCPポート2556にバックドアを仕掛け、電子メールによる拡散を試みます。送信するメールには、ランダムな名前の.exeファイルを内包した.zip ファイル、.rarファイル、あるいは.pifファイルが添付されています。差出人のメールアドレスは詐称されており、management、administration、staff、noreply、あるいはsupportのうちいずれかの文字列と、受信者のドメインを組み合わせたアドレスとなっています。
この場合、添付ファイルを実行していなければワームが活動を開始することはありません。
 
また、「W32.Beagle.M@mm」は、フォルダ名に“shar”という文字列を含むフォルダに自分自身を投下することによって、ファイル交換ソフトKaZaAやiMeshなどのファイル共有ネットワーク<Peer to Peer(ピア ツー ピア)など>を通じても拡散を試みます。
「W32.Beagle.M@mm」は、EXE拡張子を持つファイルにも感染します。

現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別 : ワーム
2. 亜種 : 「Beagle」
3. 別名 :
PE_BAGLE.N [Trend], W32/Bagle.n@MM [McAfee], Bagle.N [F-Secure],
Win32.Bagle.N [Computer Associates], W32/Bagle-N [Sophos]
4. 差出人 : 次のうち、いずれかの可能性があります
management@<受信者のドメイン>/administration@<受信者のドメイン>/staff@<受信者のドメイン>/
noreply@<受信者のドメイン>/support@<受信者のドメイン>
5. ファイル共有ネットワークを介しての拡散 : ファイルは“shar”の語句を含むフォルダに作成されます。
その際作成されるファイルのファイル名は、次のものが確認されています。
ACDSee 9.exe/Adobe Photoshop 9 full.exe/Ahead Nero 7.exe/
Matrix 3 Revolution English Subtitles.exe/Microsoft Office 2003 Crack, Working!.exe/
Microsoft Office XP working Crack, Keygen.exe/
Microsoft Windows XP, WinXP Crack, working Keygen.exe/Opera 8 New!.exe/
Porno Screensaver.scr/Porno pics arhive, xxx.exe/Porno, sex, oral, anal cool, awesome!!.exe/
Serials.txt.exe/WinAmp 5 Pro Keygen Crack Update.exe/WinAmp 6 New!.exe/
Windown Longhorn Beta Leak.exe/Windows Sourcecode update.doc.exe/
XXX hardcore images.exe
6. ウィンドウズシステムフォルダに次のファイルを作成します。
標準では、C:\Windows\System32 (Windows XP) です。
* <Windowsシステムフォルダ>\winupd.exe:
  ワームのコピー
* <Windowsシステムフォルダ>\winupd.exeopen:
  ワームのコピー
* <Windowsシステムフォルダ>\winupd.exeopenopen:
  ワームのコピー、またはワームのコピーを含むパスワード保護された.zipあるいは.rarファイル
* <Windowsシステムフォルダ>\winupd.exeopenopenopen:
  zip あるいは rar ファイル用のパスワードを含むイメージファイル(.bmp 形式)。
このファイルは、winupd.exeopenopenがパスワード保護されたアーカイブの場合のみ、作成されます。
7. Windows の起動時に必ず「W32.Beagle.M@mm」が実行されるように以下のレジストリキーが追加設定されます。
* 値 : "winupd.exe"="<Windowsシステムフォルダ>\winupd.exe"
* 場所 : 上記値が次のレジストリキーに追加されます。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

対処方法
Norton AntiVirus 等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。
 
本ウイルスに関する対処方法や既に感染してしまった場合の駆除方法などの詳細情報は下記 Home ページをご参照ください。

株式会社 シマンテック

(c)Copyright 2004 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.