テクニカルサポート > Virus Information Center > 2004年公開情報リスト > Win32.Bagle.Z

Win32.Bagle.Z

別名 I-Worm.Bagle.aa (Kaspersky) , W32/Bagle.AD@mm (F-Secure), W32/Bagle.ae@MM (McAfee), W32/Bagle.AE-mm (Wildlist), VBS.Bagle.Z , W32.Beagle.Z@mm (Symantec), VBS.EXEDropper
カテゴリ Win32
タイプ ワーム
文書公開日 12/14/2004
最終更新日 12/12/2004
被害 : LOW
破壊 : HIGH
感染 : HIGH

特徴

Win32.Bagle.Zは、電子メールおよびP2Pファイル共有経由で増殖するワームです。 ワーム自体は長さ約60,000バイトのPEX圧縮された実行ファイルですが、Visual BasicスクリプトやHTMLのドロッパー、コントロール パネル アプレット、パスワード保護されたZIPアーカイブなどの形式で配布されることがあります。

感染方法

Win32.Bagle.Zは実行されると、以下に自身をコピーします。

%System%\loader_name.exe

また、Windows起動時にこのコピーが実行されるよう、レジストリを改変します。

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reg_key = "%System%\loader_name.exe"

注: 「%System%」は可変ロケーションです。 ワームはオペレーティング システムを検索し、現行のSystemフォルダのロケーションを調べます。 Systemディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になります。

Bagle.Zはさらに、以下のメッセージ ボックスを表示させます。

スクリーンショット

電子メールの添付ファイルを生成するプロセスにおいて、ワームによってさらに、以下の4つのファイルが生成されることがあります。

%System%\loader_name.exeopen
%System%\loader_name.exeopenopen
%System%\loader_name.exeopenopenopen
%System%\loader_name.exeopenopenopenopen

配布方法

電子メール経由

ワームは、さまざまな件名およびメッセージ本文を含んだ電子メールの添付ファイルとして送信されてきます。 添付ファイル名や拡張子も一定ではありません。 差出人アドレスは、感染システムから収集した電子メールから選択されます。

ワームが送信する電子メールは以下のようになります。

件名の例

Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document

メッセージ本文の例

Read the attach.
Your file is attached.
More info is in attach
See attach.
Please, have a look at the attached file.
Your document is attached.
Please, read the document.
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Pay attention at the attach.
See the attached file for details.
Message is in attach
Here is the file.

添付ファイルは、パスワード保護されたZIPアーカイブ内に含まれている場合があります。 この場合、メッセージ本文には、上記に加えて、以下のいずれかの行が含まれます。

For security reasons attached file is password protected. The password is <パスワード>
For security purposes the attached file is password protected. Password -- <パスワード>
Note: Use password <パスワード> to open archive.
Attached file is protected with the password for security reasons. Password is <パスワード>
In order to read the attach you have to use the following password: <パスワード>
Archive password: <パスワード>
Password - <パスワード>
Password: <パスワード>
Pass - <パスワード>

<パスワード>は、添付のZIPファイルのパスワードです。 パスワードは常に、5桁の数字になります(例: 「40300」)。 BMP、GIF、JPEG形式などの、画像ファイルとして表示されます。

添付ファイル名は、以下のリストから選択されます。

Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message

拡張子は以下のいずれかになる可能性があります。

.exe
.scr
.com
.zip
.vbs
.hta
.cpl

ワームは、ファイルの拡張子に応じて添付ファイルの種類を変更します。 たとえば「.vbs」という拡張子の添付ファイルは、実際のワーム(Win32実行ファイル)を埋め込むVisual Basicスクリプトになります。 つまり、Bagle.Zドロッパーには、Visual Basicスクリプト、HTML、コントロール パネル アプレットという3つの形式があります。

ZIPアーカイブの場合、中身のファイルには任意に生成された名前が付いていますが、5文字から9文字の小文字で生成され、「.exe」拡張子が付きます。

ZIPファイルにはさらに無害のファイルが含まれる可能性もあります。このファイルには任意のデータが含まれ、任意のファイル名と以下のいずれかの拡張子が付いています。

.ini
.cfg
.txt
.vxd
.def
.dll

添付ファイル名の例

 * xgvxcujm.exeおよびkksfoe.txtを含むInformation.zip
 * zlgjhcujc.exeおよびvzfywhif.cfgを含むReadme.zip
 * Updates.com
 * Details.hta

ワームが含まれている添付ファイルや、パスワードが含まれている画像に加えて、約30%の割合で「Sources.zip」というZIPアーカイブが含まれています。 このファイルには、アセンブリ言語で記述されたワームのソース コードが含まれています。

ワームによって生成される電子メールの例

スクリーンショット

スクリーンショット

スクリーンショット

スクリーンショット

スクリーンショット

このワームは保有しているSMTPコードを使用して、自身を送信します。 ワームは以下の拡張子を持つファイルを検索し、電子メール アドレスを探します。

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

以下の文字列を含むアドレスは使用しません。

@hotmail
@msn
@microsoft
rating@
f-secur
news
update                       
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples  
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

P2Pファイル共有経由

ワームはアドレスのスキャンを実行する際、名前に「shar」が含まれているディレクトリも検索します。 以下のファイル名を使用して、適合する各ディレクトリに自身をコピーします。

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

これにより、ワームはP2Pファイル共有ネットワーク(KaZaaなど)経由で増殖することが可能となります。

ペイロード

バックドア機能 

ワームは、ポート1234上でバックドアをオープンし、マシンへのリモート アクセスを可能にします。 このバックドアは、ファイルのアップロードや実行、ワームの更新などの目的で使用される可能性があります。 また、受信待機するポートを変更する命令を受け付けることもあります。

レジストリ値の削除

このワームは、アンチウイルスおよびその他セキュリティ関連のアプリケーションを回避するために、次のレジストリ キーから以下の値を削除します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

追加情報

感染システム上でワームのコピーが1度に1つしか実行されないように、複数のmutexを生成します。

    * MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
    * 'D'r'o'p'p'e'd'S'k'y'N'e't'
    * _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
    * [SkyNet.cz]SystemsMutex
    * AdmSkynetJklS003
    * ____--->>>>U<<<<--____
    * _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

ワームが2004年7月7日以降に実行されると、レジストリから自身を削除し、終了します。 ワームのファイルはシステム内に残りますが、自動的に実行されることはありません。

Analysis by Hamish O'Dea

ご注意: ワームによって生成された「.hta」および「.vbs」ファイルは、シグネチャ バージョン5418(Vet 10.5xエンジン)および8303(Vet 11.xエンジン)時点において、Vetエンジンにより「VBS.EXEDropper」として検出されました。

Win32.Bagle.Z駆除手順

Win32.Bagle.Z
eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順

シグネチャ: 23.65.62

駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

WIndows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。

Win32.Bagle.Z
eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順

シグネチャ: 11.x/8431

駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

WIndows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。


対応シグネチャ/エンジン情報

製品 対応シグネチャ
/エンジン情報*		 ウイルス駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine) 23.65.62 文末の駆除手順を参照
eTrust Antivirus 6x/v7* (Vet Engine) 11.x/8431 文末の駆除手順を参照
eTrust EZ Antivirus 6.1x 6.1x/5573 駆除手順を参照
eTrust EZ Antivirus 6.2x 6.2x/8431 駆除手順を参照
Vet Anti-Virus 10.5x 10.5x/5573 駆除手順を参照
Vet Anti-Virus 10.6x 10.6x/8431 駆除手順を参照

* InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む。