Worm/Bagle.CW - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Bagle.CW
発見日：	20/09/2005
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	31.416 バイト
MD5　チェックサム	67f2c0b3ca58bdcae30A4c557cde5a24
VDFファージョン：	6.32.00.25 - Tue, 20 Sep 2005 14:54 (GMT+1)

一般情報 感染方法
   • Eメール

別名
   • Symantec(シマンテック) W32.Beagle.CG@mm
   • Kaspersky(カスペルスキー) Email-Worm.Win32.Bagle.cz
   • TrendMicro(トレンドマイクロ） WORM_BAGLE.CZ
   • ウイルスバスター I-Worm.Bagle.DU
   • Eset Win32/Bagle.CO
   • ビットディフェンダー(Bitdefender)： Win32.Bagle.FH@mm

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP

副作用
   • 悪意ファイルをダウンロードします。
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\windll2.exe

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\re_file.exe これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

– 場所は以下の通りです：
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://fyeye.com/lyra/**********
   • http://ligapichangueras.cl/images/**********
   • http://ekshrine.com/images/**********
   • http://directeenhuis.nl/images/**********
   • http://creacionesartisticasandaluzas.com/bovedas/**********
ハードディスクの以下のパスにセーヴされます： %WINDIR%\eml.exe これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • "erthegdr" = "%SYSDIR%\windll2.exe"

以下のレジストリ・キーの値が消えています：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • erthegdr
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– [HKCU\SOFTWARE\ewrt]

Eメールそれ自身に伝染する能力はありませんが、メールを通して感染します。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。

宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス

件名
件名は空欄になっています。

本文
メールの本文は以下の通りです：
   • The password is
   • Password:
   • price
   • new price

添付ファイル
このファイルの内容はそれ自身のコピーではなく、他のマルウェアです。

添付ファイルの名前は：
   • price.zip
   • price2.zip
   • price_new.zip
   • price_09.zip
   • 09_price.zip
   • newprice.zip
   • new_price.zip
   • new__price.zip

送信 アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@

プロセス中断以下のプロセスは終了されます：
• 1t1epad.exe
• t1es1t.exe

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
   • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
   • (null)

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Irina Boldea によって Mon, 20 Feb 2006 11:54 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Thu, 16 Mar 2006 08:18 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back