| 1. |
種別: ワーム |
| 2. |
亜種: 「Beagle」 |
| 3. |
別名:
WORM_BAGLE.AH [Trend], W32/Bagle.ai@MM [McAfee], W32/Bagle-AI [Sophos],
Win32.Bagle.AI [Computer Associates] |
| 4. |
差出人:詐称されています。 |
| 5. |
件名:
Re_ |
| 6. |
本文:以下の英文のうちいずれかになります。
| |
foto3 and MP3 / fotogalary and Music / fotoinfo
/ Lovely animals / Animals /
Predators / The snake / Screen and Music |
|
| 7. |
添付ファイル名:以下のファイル名と拡張子を組み合わせたものになります。
| |
| ファイル名: |
Cat / Cool_MP3 / Dog / Doll / Fish / Garry
/ MP3 / Music_MP3 /
New_MP3_Player |
| 拡張子: |
.exe / .scr / .com / .cpl / .zip |
|
|
| 8. |
感染すると、ワームは自分自身を%System%\winxp.exeとしてコピーします。
| * |
%System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。
標準では、このフォルダはC:\Windows\System32(Windows XP)です。 |
|
| 9. |
感染すると以下のファイルがWindowsのシステムフォルダ内に作成されます。
| |
| winxp.exeopen |
winxp.exeopenopen
| |
このファイルは、.zipファイルか.cplファイルです。ファイルタイプにより、次のアクションが発生します。
|
| |
・ |
.zipファイルの場合:ランダムな名前のファイルを2つ含んでいます。1つは.exeファイルであり、もう1つは.sys、.dat、.idx、.vxd、.vid、.dllのうちいずれかの拡張子を持つテキストファイルです。 |
| |
・ |
.cplファイルの場合:このファイルが実行されると、Windowsのインストールフォルダに
cjector.exe という名前のファイルが作成されます。 |
|
| winxp.exeopenopenopen |
| winxp.exeopenopenopenopen |
|
|
| 10. |
起動時に必ず「W32.Beagle.AG@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
| * |
値 : |
"key" = "%System%\winxp.exe" |
| |
場所 : |
上記値が次のレジストリキーに追加されます。
HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Run |
|
