 |
 |
|
| 最新ニュース |
|
|
【 2009/12/25 】 【 2009/12/24 】 |
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
| NACなど、「Bagle.Z」を危険度“中”で警告 | ||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
Bagle.Zは、ウイルス「Bagle」の亜種で自分自身のコピーをメールに添付して送信するほか、ネットワーク共有やP2Pファイル共有ソフトを利用して感染拡大を図る。また、セキュリティ対策ソフトの強制終了や、ポートを開いて外部からの接続を待つ「バックドア活動」も行なうなど、多くの機能を搭載しているのが特徴だ。 なお、このウイルスはNACでは「Bagle.Z」、シマンテックでは「Beagle.W」、トレンドマイクロでは「BAGLE.X」とベンダー各社で名称が異なるため、情報の確認時には十分な注意が必要だ。 Bagle.Zに感染すると、「Can't find a viewer associated with the file」と書かれた偽のエラーメッセージを表示する。次にWindowsのシステムフォルダに「Drvsys.exe」「Drvsys.exeopen」「Drvsys.exeopenopen」というファイル名で自分自身のコピーを作成する。またレジストリを改変し、Windows起動時に自身が自動実行されるように設定する。 その後、感染したPC内の拡張子「.htm」「.txt」などのファイルからメールアドレスを収集する。送信するメールは、送信者名や件名、メール本文、添付ファイルなどは複数の候補からランダムな組み合わせが選択されるため、一定ではない。ただし、添付ファイルの拡張子は「.com」「.cpl」「.exe」「.hta」「.scr」「.vbs」「.zip」の7種類のいずれかとなるため、このような拡張子の場合には充分な注意が必要だ。 続いて、感染したPCのローカルドライブ内から「shar」という文字列を含むフォルダを探し出し、自分自身をコピーする。また、「ANTIVIRUS.EXE」や「NDD32.EXE」「ZONEALARM.EXE」といったセキュリティ対策ソフトを強制終了し、ポート2535番を開いて外部からの接続を待つ。その際に複数のWebサイトへアクセスを試み、開いたポート番号を報告しようとする。なお、Bagle.Zはシステム時刻が2005年1月25日以降になった場合には、レジストリを削除して自身の活動を停止する。 感染した場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、システム全体をスキャンする。その後、「Bagle.Z」や「Beagle.W」「BAGLE.X」として検出されたファイルをすべて削除し、レジストリを修正する必要がある。なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にしなければならない。
■ URL NAC「Bagle.Z」 http://www.nai.com/japan/security/virB.asp?v=W32/Bagle.z@MM シマンテック「Beagle.W」 http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.beagle.w@mm.html トレンドマイクロ「BAGLE.X」 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.X&VSect=T ■ 関連記事 ・ Netsky“Z”が登場。遂に全アルファベットを制覇 (大津 心) 2004/04/27 13:09 |
 |
|
| Broadband Watch ホームページ |
|
|
|
|
 |
|
| Copyright (c) 2004 Impress Corporation All rights reserved. |
|