TOPICS

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2004年4月28日(米国時間)に発見されました「W32.Beagle.X@mm」に関しまして、同日株式会社シマンテックは報告件数が増加したため、Symantec Security Responseを、この脅威の危険度を2から3に引き上げた情報更新をおこなっております。
このウイルスの危険性の評価が高く引き上げられましたので、早急にウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Beagle.X@mm」は、「Beagle」の亜種で、大量メール送信/バックドア設置型のワームです。感染すると、コンピュータからメールアドレスを探し出し、発見したメールアドレスへ独自のメール送信機能を使用して自分自身を添付したメールを送信し感染の拡大を試みます。同時に「shar」という文字を含む全てのフォルダに対して自分自身の複製を保存し、ネットワーク共有を介しての感染の拡大も試みます。
また、常駐しているウイルス対策ソフト等のセキュリティソフトを強制終了させようとします。さらに、TCPポート2535を開放し、外部からの不正アクセスが可能な状態に設定します。
 
電子メールの件名、本文および添付ファイル名は不定で、差出人は詐称されています。
 
感染した場合、"Can't find a viewer associated with the file"という英文のメッセージを表示します。

現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別: ワーム
2. 亜種: 「Beagle」
3. 別名:
I-Worm.Bagle.z [Kaspersky], WORM_BAGLE.Z [Trend], W32/Bagle.aa@MM [McAfee],
W32/Bagle-AA [Sophos]
4. 差出人:詐称されています。
5. 件名:次のものが確認されています。
  Re: Msg reply / Re: Hello / Re: Yahoo! / Re: Thank you! / Re: Thanks :) / RE: Text message / Re: Document / Incoming message / Re: Incoming Message / RE: Incoming Msg / RE: Message Notify / Notification / Changes.. / New changes / Hidden message / Fax Message Received / Protected message / RE: Protected message / Forum notify / Site changes / Re: Hi / Encrypted document
6. 本文:添付ファイルの拡張子が.zipの場合、次のうちいずれかを含みます。
  For security reasons attached file is password protected. The password is / For security purposes the attached file is password protected. Password -- / Note: Use password / Attached file is protected with the password for security reasons. Password is / In order to read the attach you have to use the following password: / Archive password: / Password / Password:
他の拡張子の場合は、空白になります。
7. 添付ファイル名:以下のファイル名と拡張子を組み合わせたものになります。
 
ファイル名: Information / Details / text_document / Readme / Document / Info / the_message / Details / MoreInfo / Message / You_will_answer_to_me / Half_Live / Counter_strike / Loves_money / the_message / Alive_condom / Joke / Toy / Nervous_illnesses / Manufacture / You_are_dismissed / Your_complaint / Your_money / Smoke / I_search_for_you
拡張子: .exe / .com / .scr / .zip
8. 感染すると、ワームは自分自身を%System%\drvddll.exeとしてコピーします。
* %System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。 標準では、このフォルダはC:\Windows\System32(Windows XP)です。
9. 感染すると以下のファイルがWindowsのシステムフォルダ内に作成されます。
 
drvddll.exeopen
  このファイルは、ワームのコピーにランダムにデータが付加されたものです。
drvddll.exeopenopen
  このファイルは、.zipファイル、.vbsファイル、.cplファイル、.htaファイル、またはワーム自身の場合があります。ファイルタイプにより、次のアクションが発生します。
  .zipファイルの場合:ランダムな名前のファイルを2つ含んでいます。1つは.exeファイルであり、もう1つは.sys、.dat、.idx、.vxd、.vid、あるいは.dllを拡張子に持つテキストファイルです。
  .vbsファイルの場合:システムフォルダにvss_2.exe という名前のファイルが作成されます。
  .cplファイルの場合:インストールフォルダに cplstub.exe という名前のファイルが作成されます。
  .htaファイルの場合:システムフォルダに qwrk.exe という名前のファイルが作成されます。
drvddll.exeopenopenopen
  コンピュータ上にgdiplus.dllがある場合、このファイルの拡張子は、.jpgあるいは.gifです。無い場合は、.bmpです。
drvddll.exeopenopenopenopen
  このファイルは、6文字のランダムな文字を含むテキストファイルです。
10. 起動時に必ず「W32.Beagle.X@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
* 値 : "Drvddll_exe"="%system%\drvddll.exe"
  場所 : 上記値が次のレジストリキーに追加されます。
HKEY_CURRENT_USER\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run

対処方法
Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。
 
本ウイルスに関する対処方法や既に感染してしまった場合の駆除方法などの詳細情報は下記ホームページをご参照ください。

株式会社 シマンテック

(c)Copyright 2004 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.