| 1. |
種別: ワーム |
| 2. |
亜種: 「Beagle」 |
| 3. |
別名:
W32/Bagle.af@MM [McAfee], WORM_BAGLE.AF [Trend] |
| 4. |
差出人:詐称されています。 |
| 5. |
件名:複数の候補からランダムに選ばれた英文の件名となります。 |
| 6. |
本文:複数の候補からランダムに選ばれた英文の本文となります。 |
| 7. |
添付ファイル名:以下のファイル名と拡張子を組み合わせたものになります。
| |
| ファイル名: |
Information / Details / text_document
/ Updates / Readme / Document / Info /
MoreInfo / Message |
| 拡張子: |
..exe / .scr / .com / .cpl / .zip |
|
|
| 8. |
感染すると、ワームは自分自身を%System%\sysxp.exeとしてコピーします。
| * |
%System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。
標準では、このフォルダはC:\Windows\System32(Windows XP)です。 |
|
| 9. |
感染すると以下のファイルがWindowsのシステムフォルダ内に作成されます。
| |
sysxp.exeopen
| |
このファイルは、ワームのコピーにランダムなデータが付加されたものです。 |
|
sysxp.exeopenopen
| |
このファイルは、.zipファイルか.cplファイルです。ファイルタイプにより、次のアクションが発生します。
|
| |
・ |
.zipファイルの場合:ランダムな名前のファイルを2つ含んでいます。1つは.exeファイルであり、もう1つは.sys、.dat、.idx、.vxd、.vid、.dllのうちいずれかの拡張子を持つテキストファイルです。 |
| |
・ |
.cplファイルの場合:このファイルが実行されると、Windowsのインストールフォルダに
cplstub.exe という名前のファイルが作成されます。 |
|
sysxp.exeopenopenopen
| |
コンピュータ上にgdiplus.dllがある場合、このファイルは、.jpgあるいは.gifファイルです。それ以外の場合は、.bmpです。 |
|
sysxp.exeopenopenopenopen
|
|
|
| 10. |
起動時に必ず「W32.Beagle.AB@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
| * |
値 : |
"key" = "%System%\sysxp.exe" |
| |
場所 : |
上記値が次のレジストリキーに追加されます。
HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Run |
|
