2004年01月19日(月) 22時59分

「電卓」に偽装する大量メール送信型ワームBAGLE.Aが感染拡大中（MYCOM PC WEB）

トレンドマイクロは、新種ワーム「WORM_BAGLE.A」(またはW32.Beagle.A@mmなど)の感染が拡大中だと警告を発した。BAGLE.Aは、EメールにEXEファイルを添付し、任意のアドレスに大量のウイルス付きメールを配信するマスメーリング型のワーム。

メールは、以下の書式で送られる。

差出人: (任意)
件名: Hi
宛先: (任意)
本文:
Test =)
(ランダムな文字列)
--
Test, yep.
添付ファイル: (ランダムな文字列).exe

添付のEXEファイルはWindows標準の「電卓」(calc.exe)のアイコンとなっており、実行すると電卓が実際に立ち上がるという偽装を行うが、EXEファイルの実行で感染活動を開始する。感染後、Windowsのシステムディレクトリ(C:\windowsなど)に「BBEAGLE.EXE」をコピー、Windows起動時にワーム(BBEAGLE.EXE)が自動実行されるようにするなどレジストリを改変する。

その後、HDD内にある「WAB」「TXT」「HTM」「HTML」ファイルからメールアドレスを抽出、宛先として設定、自身のSMTPエンジンを用いてメールを送信する。ただし「@hotmail.com」「@msn.com」「@microsoft」「@avp」を含むメールアドレスにはメールを送信しない。差出人アドレスについては偽装を行うが、トレンドマイクロは19日14時現在解析中としながらも、宛先アドレスの抽出と同様にローカルファイル内からアドレスをピックアップして差出人として設定するという。

またURLリストを備えており、「特定のURL＋1.php」というサイトにアクセスを試みようとする。これはワーム自身をアップデートするためのアクセスなどと推測されている。

基本的にはメール送信するだけなので致命的なダメージはもたらさず、脆弱性を悪用するなど高度な動作はしないが、トレンドマイクロによれば米国を中心に感染が拡大しており、危険度を「中」に設定、注意を促している。

スクリーンショットはこちら
http://pcweb.mycom.co.jp/news/2004/01/19/005.html

今年のセキュリティ動向は? ワームは今年も流行、明るい兆しも
http://pcweb.mycom.co.jp/news/2003/12/24/29.html

大量メール送信とDoS攻撃を行う新種ワーム「Mimail.C」が拡散
http://pcweb.mycom.co.jp/news/2003/11/04/14.html

トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.A

日本ネットワークアソシエイツ
http://www.nai.com/japan/security/virB.asp?v=W32/Bagle@MM

（MYCOM PC WEB）

http://headlines.yahoo.co.jp/hl?a=20040120-00000096-myc-sci