| 1. |
種別: ワーム |
| 2. |
亜種: 「Beagle」 |
| 3. |
別名:
W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend],
Win32.Bagle.AG [Computer Associates], W32/Bagle-AQ [Sophos] |
| 4. |
差出人:詐称されています。 |
| 5. |
件名:件名は空白です。 |
| 6. |
本文:
New price |
| 7. |
添付ファイル名:以下のうちいずれかになります。
| |
08_price.zip / new__price.zip / new_price.zip
/ newprice.zip / price.zip / price2.zip /
price_08.zip / price_new.zip |
添付されたzipファイルにはPrice.htmlおよびzipファイルと同じ名前を持った実行ファイルが含まれており、この実行ファイルが外部よりメーラーコンポーネントをダウンロードします。 |
| 8. |
感染すると、ワームは自分自身を%System%\WINdirect.exeとしてコピーします。
| * |
%System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。
標準では、このフォルダはC:\Windows\System32(Windows XP)です。 |
同時に、起動時に必ずワームが実行されるよう、以下のレジストリキーが追加設定されます。
| * |
値 : |
"win_upd.exe"="%System%\WINdirect.exe" |
| |
場所 : |
上記値が次のレジストリキーに追加されます。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
|
| 9. |
また、以下のファイルがWindowsのシステムフォルダ内に作成されます。
| |
_dll.exe
| |
このファイルは、ワームの実行されているプロセスを偽装するための実行ファイルです。
|
|
| windll.exe |
windll.exeopen
| |
このファイルは、ランダムなデータが付加されているワームのコピーです。
|
|
windll.exeopenopen
| |
このファイルは、ランダムなデータが付加されているワームのコピーです。
|
|
| re_file.exe |
|
|
| 10. |
起動時に必ず「W32.Beagle.AO@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
| * |
値 : |
"erthgdr"="%System%\windll.exe" |
| |
場所 : |
上記値が次のレジストリキーに追加されます。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
|
