★阿修羅♪ 現在地 HOME > 掲示板 > IT5 > 247.html
 ★阿修羅♪
次へ 前へ
次々出現する「Beagle」ウイルスの変種に注意,HTMLメールを開いただけで感染するものも【IT_Pro記事】
http://www.asyura2.com/0401/it05/msg/247.html
投稿者 クエスチョン 日時 2004 年 3 月 23 日 00:55:29:WmYnAkBebEg4M
 

(回答先: 【毒虫警報!】添付ファイルのない Bagle ワーム、トレンドマイクロが警告 投稿者 passenger 日時 2004 年 3 月 22 日 10:51:19)

次々出現する「Beagle」ウイルスの変種に注意,HTMLメールを開いただけで感染するものも【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040319/141693/

 警察庁は3月19日,メールで感染を広げる「Beagle(Bagle)」ウイルスを改めて警告した。2004年1月にBeagleのオリジナルが出現して以降,さまざまな変種が出現している(関連記事)。ウイルスに感染すると(ウイルス・ファイルを実行すると),ウイルス添付メールを大量に送信させられたり,バックドアを仕掛けられたりする。パスワードを設定したアーカイブ・ファイルにウイルスを含める変種や,添付ファイルがない変種も存在する(添付ファイルがない変種では,HTMLメールを開くとウイルスをダウンロードさせられる)。十分注意したい。

 3月19日19時現在,アンチウイルス・ベンダーのトレンドマイクロでは,18種類のBeagle(Bagle)を確認しているという。警察庁では変種の特徴をまとめた一覧表(PDFファイルを公開している。

 オリジナルのBeagleは,自分のコピーを拡張子が「.exe」のファイルにして,メールに添付して感染を広げる(関連記事)。その後,自分のコピーの拡張子を「.scr」にする変種,自分のコピーを「.zip」のアーカイブ・ファイルに含める変種が出現した。アーカイブ・ファイルにパスワードを設定する変種も出現している(パスワードはメールの本文に記述されている)。

 現在では,ウイルス・ファイルを添付しない変種も出現している。トレンドマイクロは3月18日,ウイルス・ファイルを添付しない変種「Bagle.Q」を警告した。ウイルスの危険度は5段階中,上から2番目(VAC-2)に設定している。

 Bagle.Qが送信するメールの本文はHTMLで書かれている。(1)HTMLメールのレンダリングにInternet Explorer(IE)を使うメール・ソフトを使っている,(2)メール・ソフトでHTMLメールを表示させる設定している,(3)IEに「MS03-040」のセキュリティ・ホールがある――以上の条件を満たす場合には,Bagle.Qが送信するHTMLメールをプレビューしたり開いたりすると,スクリプトが記述されたHTMLファイルがダウンロードされる。このHTMLファイルは,既にBagle.Qに感染しているパソコンか,ある特定のサイトからダウンロードされる(特定サイトのIPアドレスはBagle.Qの中に記述されている)。

 トレンドマイクロのウイルス対策製品では,Bagle.Qが送信するHTMLメールを「HTML_BAGLE.Q-1」,ダウンロードされるHTMLファイルを「HTML_BAGLE.Q」として検出するという。

 HTMLファイル(HTML_BAGLE.Q)をダウンロードすると,ファイルに記述されたスクリプトが実行されて,パソコン上に「Q.VBS」というVBScriptファイルが作成される。Q.VBSは,既にBagle.Qに感染しているパソコンか,ある特定のサイトからウイルスの本体である実行形式ファイルをダウンロードして,パソコン上で実行する。

 ウイルスの本体(Bagle.Q)が実行されると,パソコンの起動時にBagle.Qが動き出すようにレジストリが改変される。加えて,フォルダ名に「shar」という文字列を含むフォルダに自分自身をコピーする。さらに,現在動いているウイルス対策ソフトのプロセスを終了させようとする。

 動き出したBagle.Qは“ウイルス・サーバー”としても機能する。Bagle.Qに感染したパソコンから送信されるHTMLメール(HTML_BAGLE.Q-1)には,そのパソコンのIPアドレスが記述される。そのメールを受け取ったユーザーは,Bagle.Qをダウンロードするために,そのパソコンにアクセスすることになる。Bagle.QはTCPポート81番で,外部からのリクエストを待ち受ける。ただし,Bagle.Qに感染したパソコンではなく,Bagle.Qの内部に記述されている(ハード・コーディングされている)特定のIPアドレスが記述される場合もある。「(Bagle.Qに感染したパソコンと特定アドレスのサイトの)どちらのIPアドレスが記述されるかは,ランダムに決定される」(トレンドマイクロ アンチウイルスセンターの西山健一ウイルス解析者)。

 今後も,より趣向を凝らした変種が出現する可能性は高い。「Bagle.Qは『MS03-040』のセキュリティ・ホールを突くが,異なるセキュリティ・ホールを突く変種が出現する可能性もある。セキュリティ・ホールを突くことなく,Bagle.Qと同様の振る舞いをする変種が出現する可能性もある」(西山氏)。

 対策は「最新のウイルス定義ファイルをインストールしたウイルス対策ソフトを常駐させて使用する」「添付ファイルを安易に実行しない」――こと。加えて,Bagle.Qのようなウイルスに対抗するために,「セキュリティ・ホールをふさぐ」「HTMLメールをテキスト・ファイルで表示させるようにする」ことも重要だ。セキュリティ・ホールをふさいでおけば,ウイルス・ファイルが勝手に動き出すことはない。また,メールをすべてテキスト形式で表示させるようにすれば,メールの本文を開いただけでファイルをダウンロードさせられることはない。

 ほとんどのメール・ソフトには,テキスト形式で表示させる設定がある。Outlook Express SP1やOutlook 2002などでも可能だ。マイクロソフトが公開する情報に従えば容易にテキスト形式で表示させるようにできる。セキュリティの観点からは,すべてのメールをテキスト形式で表示するように設定しておきたい。

◎参考資料
◆Beagle(Bagle)ウイルスについて(警察庁)
◆Beagle(Bagle)ウイルス及びその亜種の主な特徴(PDFファイル,警察庁)
◆PE_BAGLE.Q(トレンドマイクロ)
◆Many variants of W32/Beagle malicious code(US-CERT)

(勝村 幸博=IT Pro)


<最近のウイルス/ワーム関連記事>
Winnyで感染を広げる新種ウイルス出現,パソコン中のファイルを盗まれる恐れあり (2004/03/17)
歴代ウイルスが飛びついた“おいしい”機能(上) (2004/03/16)
「今後は企業向けの営業も強化」――,シマンテックが2004年度の営業戦略 (2004/03/12)
Mydoom.AおよびBの非活性化を試みる「Netsky.J」発生 (2004/03/10)
「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測 (2004/03/05)
「2月はMydoomやNetskyが猛威,ウイルス警告メールが来ても慌てるな」――IPA (2004/03/04)
感染を広げるBagleワーム,亜種「W32/Bagle.h@MM」の危険度は「中」 (2004/03/03)
Netskyウイルスの変種が流行中,拡張子が「.pif」の添付ファイルに注意 (2004/03/02)
米Network Associatesなど,危険度「中」のワーム「W32/Netsky.d@MM」を警告 (2004/03/02)
アンチウイルス・ベンダー各社がBagleワームの亜種「W32/Bagle.c@MM」を警告 (2004/03/01)
2004年2月のウイルス被害状況,「Sober-C」が再びワースト1に (2004/03/01)

 次へ  前へ

IT5掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。